Contract

EDITAL DO PREGÃO ELETRÔNICO Nº 035/2021

REGISTRO DE PREÇOS PARA FUTURA E EVENTUAL CONTRATAÇÃO DE EMPRESA ESPECIALIZADA NO FORNECIMENTO DE SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO INTELIGENTE DE DADOS EM REPOUSO E DADOS EM TRÂNSITO, ESTRUTURADOS E NÃO ESTRUTURADOS, CONTROLE DE ACESSO, VISIBILIDADE E RASTREABILIDADE DE UTILIZAÇÃO DE DADOS EM SERVIDORES DE ARQUIVOS, BANCO DE DADOS ONPREMISE E NA NUVEM, CUSTÓDIA DE CHAVES CRIPTOGRÁFICAS PARA AMBIENTES EM NUVEM (PÚBLICA, HIBRIDA OU PRIVADA) COMPOSTA POR SOFTWARE E SERVIÇOS DE GARANTIA E SUPORTE TÉCNICO, SERVIÇOS DE INSTALAÇÃO E CONFIGURAÇÃO DA SOLUÇÃO, SERVIÇOS DE TREINAMENTO, SERVIÇOS PARA INTEGRAÇÕES NECESSÁRIAS COM SOLUÇÕES DE TERCEIROS E SERVIÇOS ESPECIALIZADOS, PARA ATENDER ÀS DEMANDAS DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO.

PROCESSO Nº:

2021.74528

MODALIDADE:

PREGÃO ELETRÔNICO

TIPO DE LICITAÇÃO:

MENOR PREÇO GLOBAL

DATA DA REALIZAÇÃO:

11/11/2021

HORÁRIO:

09h30 (Horário de Brasília-DF)

ENDEREÇO ELETRÔNICO:

xxx.xxx.xx/xxxxxxx

CÓDIGO UASG:

926668

PREGOEIRO: XXXX XXXXX XX XXXXXXXXXXX

EDITAL DO PREGÃO ELETRÔNICO Nº 035/2021

1. PREÂMBULO

1.1. A ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, torna público, para conhecimento dos interessados, que realizará licitação para REGISTRO DE PREÇOS na modalidade PREGÃO ELETRÔNICO, cujo critério de julgamento será o de MENOR PREÇO GLOBAL, nos termos da Lei nº 10.520, de 17 de julho de 2002, do Decreto nº 10.024, de 20 de setembro de 2019, do Decreto nº 7.746, de 05 de junho de 2012, da Instrução Normativa SLTI/MP nº 01, de 19 de janeiro de 2010, da Instrução Normativa SEGES/MP nº 03, de 26 de abril, de 2018, da Lei Complementar n° 123, de 14 de dezembro de 2006, aplicando-se, subsidiariamente, a Lei nº 8.666, de 21 de junho de 1993, e as exigências estabelecidas neste Edital e seus anexos.

1.2. Todas as referências de tempo no Edital, no aviso e durante a sessão pública observarão o horário de Brasília – DF.

2. DO OBJETO

2.1. Constitui objeto do presente o REGISTRO DE PREÇOS PARA FUTURA E EVENTUAL CONTRATAÇÃO DE EMPRESA ESPECIALIZADA NO FORNECIMENTO DE SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO INTELIGENTE DE DADOS EM REPOUSO E DADOS EM TRÂNSITO, ESTRUTURADOS E NÃO ESTRUTURADOS, CONTROLE DE ACESSO, VISIBILIDADE E RASTREABILIDADE DE UTILIZAÇÃO DE DADOS EM SERVIDORES DE ARQUIVOS, BANCO DE DADOS ONPREMISE E NA NUVEM, CUSTÓDIA DE CHAVES CRIPTOGRÁFICAS PARA AMBIENTES EM NUVEM (PÚBLICA, HIBRIDA OU PRIVADA) COMPOSTA POR SOFTWARE E SERVIÇOS DE GARANTIA E SUPORTE TÉCNICO, SERVIÇOS DE INSTALAÇÃO E CONFIGURAÇÃO DA SOLUÇÃO, SERVIÇOS DE TREINAMENTO, SERVIÇOS PARA INTEGRAÇÕES NECESSÁRIAS COM SOLUÇÕES DE TERCEIROS E SERVIÇOS ESPECIALIZADOS, PARA ATENDER ÀS DEMANDAS DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, conforme condições e especificações constantes no Termo de Referência de Referência nº 010/2021/STI/ALMT (Anexo I do Edital).

2.2. Em caso de divergência entre as especificações do objeto descritas no sistema Comprasnet e as especificações técnicas constantes deste Edital, prevalecerão estas.

3. DO CREDENCIAMENTO

3.1. O credenciamento é o nível básico do registro cadastral no SICAF, que permite a participação dos interessados na modalidade licitatória Pregão, em sua forma eletrônica.

3.2. O cadastro no SICAF poderá ser iniciado no portal de Compras do Governo Federal, no sítio xxx.xxx.xx/xxxxxxx por meio de certificado digital conferido pela Infraestrutura de Chaves Públicas Brasileira – ICP – Brasil.

3.3. O credenciamento junto ao provedor no sistema implica a responsabilidade do licitante ou de seu representante legal e a presunção de sua capacidade técnica para a realização das transações inerentes a este Pregão.

3.4. O licitante responsabiliza-se exclusiva e formalmente pelas transações efetuadas em seu nome, assume como firmes e verdadeiras suas propostas e seus lances, inclusive os atos praticados diretamente ou por seu representante, excluída a responsabilidade do provedor do sistema ou do órgão ou entidade promotora da licitação por eventuais danos decorrentes de uso indevido das credenciais de acesso, ainda que por terceiros.

3.5. É de responsabilidade do cadastrado conferir a exatidão dos seus dados cadastrais no SICAF e mantê-los atualizados junto aos órgãos responsáveis pela informação, devendo proceder, imediatamente, à correção ou à alteração dos registros tão logo identifique incorreção ou aqueles se tornem desatualizados.

3.5.1. A não observância do disposto no subitem anterior poderá ensejar desclassificação no momento da habilitação.

4. DA PARTICIPAÇÃO NO PREGÃO

4.1. Poderão participar deste Pregão interessados cujo ramo de atividade seja compatível com o objeto desta licitação, e que estejam com Credenciamento regular no Sistema de Cadastramento Unificado de Fornecedores – SICAF, conforme disposto no art. 9º da IN SEGES/MP nº 3 de 2018.

4.1.1. Os licitantes deverão utilizar o certificado digital para acesso ao Sistema.

4.2. Será concedido tratamento favorecido para as microempresas e empresas de pequeno porte, nos limites previstos da Lei Complementar nº 123, de 2006.

4.3. Não poderão participar desta licitação os interessados:

4.3.1. que se encontrem sob falência;

4.3.2. proibidos de participar de licitações e celebrar contratos administrativos, na forma da legislação vigente;

4.3.3 que não atendam às condições deste Edital e seus anexos;

4.3.4 estrangeiros que não tenham representação legal no Brasil com poderes expressos para receber citação e responder administrativa ou judicialmente;

4.3.5 que se enquadrem nas vedações previstas no artigo 9º da Lei nº 8.666, de 1993;

4.3.6 Entidades empresariais que estejam reunidas em consórcio;

4.3.7. Organizações da Sociedade Civil de Interesse Público – OSCIP, atuando nessa condição (Acórdão nº 746/2014 – TCU – Plenário).

4.3.8. Que tenham sido declaradas inidôneos, por qualquer órgão da Administração Pública, que estejam punidos com suspensão do direito de contratar ou licitar com a ALMT, bem como as que se encontrem impedidos de licitar, na forma do art. 7º da Lei Federal nº 10.520/2002;

4.3.9. Das quais participe servidor de qualquer órgão ou entidade vinculada à ALMT, na condição de gerente, administrador, sócio, dirigente ou responsável técnico.

4.4. Como condição para participação no Pregão, a licitante assinalará “sim” ou “não” em campo próprio do sistema eletrônico, relativo às seguintes declarações:

4.4.1. Que cumpre os requisitos estabelecidos no artigo 3° da Lei Complementar nº 123, de 2006, estando apta a usufruir do tratamento favorecido estabelecido em seus artigos. 42 a 49.

4.4.1.1. Nos itens exclusivos para participação de microempresas e empresas de pequeno porte, a assinalação do campo “não” impedirá o prosseguimento no certame;

4.4.1.2. Nos itens em que a participação não for exclusiva para microempresas e empresas de pequeno porte, a assinalação do campo “não” apenas produzirá o efeito de o licitante não ter direito ao tratamento favorecido previsto na Lei Complementar nº 123, de 2006, mesmo que microempresa, empresa de pequeno porte.

4.4.2. Que está ciente e concorda com as condições contidas no Edital e seus anexos;

4.4.3. que cumpre os requisitos para a habilitação definidos no Edital e que a proposta apresentada está em conformidade com as exigências editalícias;

4.4.4. que inexistem fatos impeditivos para sua habilitação no certame, ciente da obrigatoriedade de declarar ocorrências posteriores;

4.4.5. que não emprega menor de 18 (dezoito) anos em trabalho noturno, perigoso ou insalubre e não emprega menor de 16 (dezesseis) anos, salvo menor, a partir de 14 (catorze) anos, na condição de aprendiz, nos termos do artigo 7°, XXXIII, da Constituição;

4.4.6. que a proposta foi elaborada de forma independente, nos termos da Instrução Normativa SLTI/MPOG nº 2, de 16 de setembro de 2009.

4.4.7. Que não possui, em sua cadeia produtiva, empregados executando trabalho degradante ou forçado, observando o disposto nos incisos III e IV do art. 1º e no inciso III do art. 5º da Constituição Federal;

4.4.8. Que os serviços são prestados por empresas que comprovem cumprimento de reserva de cargos prevista em lei para pessoa com deficiência ou para reabilitado da Previdência Social e que atendam às regras de acessibilidade previstas na legislação, conforme disposto no art. 93 da Lei nº 8.213, de 24 de julho de 1991;

4.5. A declaração falsa relativa ao cumprimento de qualquer condição sujeitará o licitante às sanções previstas em lei e neste Edital.

5. DA APRESENTAÇÃO DA PROPOSTA E DOS DOCUMENTOS DE HABILITAÇÃO

5.1. Os licitantes encaminharão, exclusivamente por meio do sistema, concomitantemente com os documentos de habilitação exigidos no edital, proposta com a descrição do objeto ofertado e o preço, até a data e o horário estabelecidos para abertura da sessão pública, quando, então, encerrar-se-á automaticamente a etapa de envio dessa documentação.

5.1.1. Todas as referências de tempo no Edital, no aviso e durante a sessão pública observarão o horário de Brasília – DF.

5.2. O envio da proposta, acompanhada dos documentos de habilitação exigidos neste Edital, ocorrerá por meio de chave de acesso e senha.

5.3. Os licitantes poderão deixar de apresentar os documentos de habilitação que constem do SICAF, assegurado aos demais licitantes o direito de acesso aos dados constantes dos sistemas.

5.4. As Microempresas e Empresas de Pequeno Porte deverão encaminhar a documentação de habilitação, ainda que haja alguma restrição de regularidade fiscal e trabalhista, nos termos do art. 43, § 1º da LC nº 123, de 2006.

5.5. Incumbirá ao licitante acompanhar as operações no sistema eletrônico durante a sessão pública do Pregão, ficando responsável pelo ônus decorrente da perda de negócios, diante da inobservância de quaisquer mensagens emitidas pelo sistema ou de sua desconexão.

5.6. Até a abertura da sessão pública, os licitantes poderão retirar ou substituir a proposta e os documentos de habilitação anteriormente inseridos no sistema.

5.7. Não será estabelecida, nessa etapa do certame, ordem de classificação entre as propostas apresentadas, o que somente ocorrerá após a realização dos procedimentos de negociação e julgamento da proposta.

5.8. Os documentos que compõem a proposta e a habilitação do licitante melhor classificado somente serão disponibilizados para avaliação do pregoeiro e para acesso público após o encerramento do envio de lances.

6. DO PREENCHIMENTO DA PROPOSTA

6.1 O licitante deverá enviar sua proposta mediante o preenchimento, no sistema eletrônico, dos seguintes campos:

6.1.1. Valor unitário e total ou percentual de desconto (se for o caso);

6.1.2. Marca;

6.1.3. Fabricante;

6.1.4. Descrição detalhada do objeto contendo as informações similares à especificação do Termo de Referência: indicando, no que for aplicável, o modelo, prazo de validade ou de garantia, número do registro ou inscrição do bem no órgão competente, quando for o caso;

6.1.4.1. Não serão aceitas as descrições que contenham somente: “IDEM AO EDITAL”, OU “CONFORME O EDITAL”, OU “OUTRAS DESTE GÊNERO”.

6.2. Todas as especificações do objeto contidas na proposta vinculam a Contratada.

6.3. Nos valores propostos estarão inclusos todos os custos operacionais, encargos previdenciários, trabalhistas, tributários, comerciais e quaisquer outros que incidam direta ou indiretamente no fornecimento dos bens.

6.4. Os preços ofertados, tanto na proposta inicial, quanto na etapa de lances, serão de exclusiva responsabilidade do licitante, não lhe assistindo o direito de pleitear qualquer alteração, sob alegação de erro, omissão ou qualquer outro pretexto.

6.5. O prazo de validade da proposta não será inferior a 90 (noventa) dias, a contar da data de sua apresentação.

6.6. Os licitantes devem respeitar os preços máximos estabelecidos nas normas de regência de contratações públicas federais, quando participarem de licitações públicas;

7. DA ABERTURA DA SESSÃO, CLASSIFICAÇÃO DAS PROPOSTAS E FORMULAÇÃO DE LANCES

7.1. A abertura da presente licitação dar-se-á em sessão pública, por meio de sistema eletrônico, na data, horário e local indicados neste Edital.

7.2. O Pregoeiro verificará as propostas apresentadas, desclassificando desde logo aquelas que não estejam em conformidade com os requisitos estabelecidos neste Edital, contenham vícios insanáveis ou não apresentem as especificações técnicas exigidas no Termo de Referência.

7.2.1 Também será desclassificada a proposta que identifique o licitante.

7.2.2 A desclassificação será sempre fundamentada e registrada no sistema, com acompanhamento em tempo real por todos os participantes.

7.2.3 A não desclassificação da proposta não impede o seu julgamento definitivo em sentido contrário, levado a efeito na fase de aceitação.

7.3. O sistema ordenará automaticamente as propostas classificadas, sendo que somente estas participarão da fase de lances.

7.4. O sistema disponibilizará campo próprio para troca de mensagens entre o Pregoeiro e os licitantes.

7.5. Iniciada a etapa competitiva, os licitantes deverão encaminhar lances exclusivamente por meio do sistema eletrônico, sendo imediatamente informados do seu recebimento e do valor consignado no registro.

7.6. Os licitantes poderão oferecer lances sucessivos, observando o horário fixado para abertura da sessão e as regras estabelecidas no Edital.

7.6.1. O lance deve ser ofertado pelo valor unitário.

7.7. O licitante somente poderá oferecer lance de valor inferior ou percentual de desconto superior ao último por ele ofertado e registrado pelo sistema.

7.8. O intervalo mínimo de diferença de valores ou percentuais entre os lances, que incidirá tanto em relação aos lances intermediários quanto em relação à proposta que cobrir a melhor oferta deverá ser R$ 1,00 (um real).

7.9. O intervalo entre os lances enviados pelo mesmo licitante não poderá ser inferior a vinte (20) segundos e o intervalo entre lances não poderá ser inferior a três (3) segundos, sob pena de serem automaticamente descartados pelo sistema os respectivos lances.

7.10. Será adotado para o envio de lances no pregão eletrônico o modo de disputa “ABERTO”, em que os licitantes apresentarão lances públicos e sucessivos, com prorrogações.

7.11. A etapa de lances da sessão pública terá duração de dez minutos e, após isso, será prorrogada automaticamente pelo sistema quando houver lance ofertado nos últimos dois minutos do período de duração da sessão pública.

7.12. A prorrogação automática da etapa de lances, de que trata o item anterior, será de dois minutos e ocorrerá sucessivamente sempre que houver lances enviados nesse período de prorrogação, inclusive no caso de lances intermediários.

7.13. Não havendo novos lances na forma estabelecida nos itens anteriores, a sessão pública encerrar-se-á automaticamente.

7.14. Encerrada a fase competitiva sem que haja a prorrogação automática pelo sistema, poderá o pregoeiro, assessorado pela equipe de apoio, justificadamente, admitir o reinício da sessão pública de lances, em prol da consecução do melhor preço.

7.15. Em caso de falha no sistema, os lances em desacordo com os subitens anteriores deverão ser desconsiderados pelo pregoeiro, devendo a ocorrência ser comunicada imediatamente à Secretaria de Gestão do Ministério da Economia.

7.15.1. Na hipótese do subitem anterior, a a ocorrência será registrada em campo próprio do sistema.

7.16. Não serão aceitos dois ou mais lances de mesmo valor, prevalecendo aquele que for recebido e registrado em primeiro lugar.

7.17. Durante o transcurso da sessão pública, os licitantes serão informados, em tempo real, do valor do menor lance registrado, vedada a identificação do licitante.

7.18. No caso de desconexão com o Pregoeiro, no decorrer da etapa competitiva do Pregão, o sistema eletrônico poderá permanecer acessível aos licitantes para a recepção dos lances.

7.19. Quando a desconexão do sistema eletrônico para o pregoeiro persistir por tempo superior a dez minutos, a sessão pública será suspensa e reiniciada somente após decorridas vinte e quatro horas da comunicação do fato pelo Pregoeiro aos participantes, no sítio eletrônico utilizado para divulgação.

7.20. Caso o licitante não apresente lances, concorrerá com o valor de sua proposta.

7.21. Em relação a itens não exclusivos para participação de microempresas e empresas de pequeno porte, uma vez encerrada a etapa de lances, será efetivada a verificação automática, junto à Receita Federal, do porte da entidade empresarial. O sistema identificará em coluna própria as microempresas e empresas de pequeno porte participantes, procedendo à comparação com os valores da primeira colocada, se esta for empresa de maior porte, assim como das demais classificadas, para o fim de aplicar-se o disposto nos arts. 44 e 45 da LC nº 123, de 2006, regulamentada pelo Decreto nº 8.538, de 2015.

7.22. Nessas condições, as propostas de microempresas e empresas de pequeno porte que se encontrarem na faixa de até 5% (cinco por cento) acima da melhor proposta ou melhor lance serão consideradas empatadas com a primeira colocada.

7.23. A melhor classificada nos termos do item anterior terá o direito de encaminhar uma última oferta para desempate, obrigatoriamente em valor inferior ao da primeira colocada, no prazo de 5 (cinco) minutos controlados pelo sistema, contados após a comunicação automática para tanto.

7.24. Caso a microempresa ou a empresa de pequeno porte melhor classificada desista ou não se manifeste no prazo estabelecido, serão convocadas as demais licitantes microempresa e empresa de pequeno porte que se encontrem naquele intervalo de 5% (cinco por cento), na ordem de classificação, para o exercício do mesmo direito, no prazo estabelecido no subitem anterior.

7.25. No caso de equivalência dos valores apresentados pelas microempresas e empresas de pequeno porte que se encontrem nos intervalos estabelecidos nos subitens anteriores, será realizado sorteio entre elas para que se identifique aquela que primeiro poderá apresentar melhor oferta.

7.26. Quando houver propostas beneficiadas com as margens de preferência em relação ao produto estrangeiro, o critério de desempate será aplicado exclusivamente entre as propostas que fizerem jus às margens de preferência, conforme regulamento.

7.27. A ordem de apresentação pelos licitantes é utilizada como um dos critérios de classificação, de maneira que só poderá haver empate entre propostas iguais (não seguidas de lances).

7.28. Havendo eventual empate entre propostas ou lances , o critério de desempate será aquele previsto no art. 3º, § 2º, da Lei nº 8.666, de 1993, assegurando-se a preferência, sucessivamente, aos bens produzidos:

7.28.1. no país;

7.28.2. por empresas brasileiras;

7.28.3. por empresas que invistam em pesquisa e no desenvolvimento de tecnologia no País.

7.28.4 por empresas que comprovem cumprimento de reserva de cargos prevista em lei para pessoa com deficiência ou para reabilitado da Previdência Social e que atendam às regras de acessibilidade previstas na legislação.

7.29. Persistindo o empate, a proposta vencedora será sorteada pelo sistema eletrônico dentre as propostas empatadas.

7.30. Encerrada a etapa de envio de lances da sessão pública, o pregoeiro deverá encaminhar, pelo sistema eletrônico, contraproposta ao licitante que tenha apresentado o melhor preço, para que seja obtida melhor proposta, vedada a negociação em condições diferentes das previstas neste Edital.

7.30.1. A negociação será realizada por meio do sistema, podendo ser acompanhada pelos demais licitantes.

7.30.2 O pregoeiro solicitará ao licitante melhor classificado que, no prazo de 02 (duas) horas envie a proposta adequada ao último lance ofertado após a negociação realizada, acompanhada, se for o caso, dos documentos complementares, quando necessários à confirmação daqueles exigidos neste Edital e já apresentados.

7.30.2.1. A proposta final, adequada ao último lance, deverá ser acompanhada por planilha de formação de preços, conforme modelo constante no Anexo III deste edital.

7.31. Após a negociação do preço, o Pregoeiro inicará a fase de aceitação e julgamento da proposta.

8. DA ACEITABILIDADE DA PROPOSTA VENCEDORA

8.1. Encerrada a etapa de negociação, o pregoeiro examinará a proposta classificada em primeiro lugar quanto à adequação ao objeto e à compatibilidade do valor ofertado em relação ao preço de referência, observado o disposto no parágrafo único do art. 7º e no § 9º do art. 26 do Decreto n.º 10.024/2019.

8.2 Será desclassificada a proposta ou o lance vencedor que apresentar preço final incompatível com o valor estimado de contratação ou cujo preço seja manifestamente inexequível.

8.2.1. Considera-se inexequível a proposta que apresente preços global ou unitários simbólicos, irrisórios ou de valor zero, incompatíveis com os preços usuais de mercado, acrescidos dos respectivos encargos, ainda que o ato convocatório da licitação não tenha estabelecido limites mínimos, exceto quando se referirem a materiais e instalações de propriedade do próprio licitante, para os quais ele renuncie a parcela ou à totalidade da remuneração.

8.3. Qualquer interessado poderá solicitar que se realizem diligências para aferir a exequibilidade e a legalidade das propostas, devendo apresentar as provas ou os indícios que fundamentam a suspeita;

8.4. Na hipótese de necessidade de suspensão da sessão pública para a realização de diligências, com vistas ao saneamento das propostas, a sessão pública somente poderá ser reiniciada mediante aviso prévio no sistema com, no mínimo, vinte e quatro horas de antecedência, e a ocorrência será registrada em ata;

8.5. O Pregoeiro poderá convocar o licitante para enviar documento digital complementar, por meio de funcionalidade disponível no sistema, no prazo de 02 (duas) horas, sob pena de não aceitação da proposta.

8.5.1. O prazo estabelecido poderá ser prorrogado pelo Pregoeiro por solicitação escrita e justificada do licitante, formulada antes de findo o prazo, e formalmente aceita pelo Pregoeiro.

8.5.2. Dentre os documentos passíveis de solicitação pelo Pregoeiro, destacam- se os que contenham as características do material ofertado, tais como marca, modelo, tipo, fabricante e procedência, além de outras informações pertinentes, a exemplo de catálogos, folhetos ou propostas, encaminhados por meio eletrônico, ou, se for o caso, por outro meio e prazo indicados pelo Pregoeiro, sem prejuízo do seu ulterior envio pelo sistema eletrônico, sob pena de não aceitação da proposta.

8.6 Caso a proposta classificada em primeiro lugar tenha se beneficiado da aplicação da margem de preferência, o Pregoeiro solicitará ao licitante que envie imediatamente,

por meio eletrônico, com posterior encaminhamento por via postal, o documento comprobatório da caracterização do produto manufaturado nacional.

8.7. O licitante que não apresentar o documento comprobatório, ou cujo produto não atender aos regulamentos técnicos pertinentes e normas técnicas brasileiras aplicáveis, não poderá usufruir da aplicação da margem de preferência, sem prejuízo das penalidades cabíveis.

8.7.1. Nessa hipótese, bem como em caso de inabilitação do licitante, as propostas serão reclassificadas, para fins de nova aplicação da margem de preferência.

8.8. Se a proposta ou lance vencedor for desclassificado, o Pregoeiro examinará a proposta ou lance subsequente, e, assim sucessivamente, na ordem de classificação.

8.9. Havendo necessidade, o Pregoeiro suspenderá a sessão, informando no “chat” a nova data e horário para a sua continuidade.

8.10. O Pregoeiro poderá encaminhar, por meio do sistema eletrônico, contraproposta ao licitante que apresentou o lance mais vantajoso, com o fim de negociar a obtenção de melhor preço, vedada a negociação em condições diversas das previstas neste Edital.

8.10.1. Também nas hipóteses em que o Pregoeiro não aceitar a proposta e passar à subsequente, poderá negociar com o licitante para que seja obtido preço melhor.

8.10.2 A negociação será realizada por meio do sistema, podendo ser acompanhada pelos demais licitantes.

8.11. Nos itens não exclusivos para a participação de microempresas e empresas de pequeno porte, sempre que a proposta não for aceita, e antes de o Pregoeiro passar à subsequente, haverá nova verificação, pelo sistema, da eventual ocorrência do empate ficto, previsto nos artigos 44 e 45 da LC nº 123, de 2006, seguindo-se a disciplina antes estabelecida, se for o caso.

8.12. Encerrada a análise quanto à aceitação da proposta, o pregoeiro verificará a habilitação do licitante, observado o disposto neste Edital.

9. DA HABILITAÇÃO

9.1 Como condição prévia ao exame da documentação de habilitação do licitante detentor da proposta classificada em primeiro lugar, o Pregoeiro verificará o eventual

descumprimento das condições de participação, especialmente quanto à existência de sanção que impeça a participação no certame ou a futura contratação, mediante a consulta, dentre outros, aos seguintes cadastros:

9.1.1. SICAF (Sistema de Cadastramento Unificado de Fornecedores), Nível I ao VI do Cadastro de Pessoa Jurídica, e da documentação específica neste Edital;

9.1.2 Consulta Consolidada de Pessoa Jurídica do Tribunal de Contas da União (xxxxx://xxxxxxxxx-xxx.xxxx.xxx.xxx.xx/ )

9.1.3.Tribunal de Contas do Estado de Mato Grosso (xxxx://xxxxxxxxxxxxxx.xxx.xx.xxx.xx/xxxxxxxx/xxxxx/xxx/000);

9.1.4. A consulta aos cadastros será realizada em nome da empresa licitante e também de seu sócio majoritário, por força do artigo 12 da Lei n° 8.429, de 1992, que prevê, dentre as sanções impostas ao responsável pela prática de ato de improbidade administrativa, a proibição de contratar com o Poder Público, inclusive por intermédio de pessoa jurídica da qual seja sócio majoritário.

9.1.4.1. Caso conste na Consulta de Situação do Fornecedor a existência de Ocorrências Impeditivas Indiretas, o gestor diligenciará para verificar se houve fraude por parte das empresas apontadas no Relatório de Ocorrências Impeditivas Indiretas.

9.1.4.2. A tentativa de burla será verificada por meio dos vínculos societários, linhas de fornecimento similares, dentre outros.

9.1.4.3. O licitante será convocado para manifestação previamente à sua desclassificação.

9.1.5. Constatada a existência de sanção, o Pregoeiro reputará o licitante inabilitado, por falta de condição de participação.

9.1.6. No caso de inabilitação, haverá nova verificação, pelo sistema, da eventual ocorrência do empate ficto, previsto nos arts. 44 e 45 da Lei Complementar nº 123, de 2006, seguindo-se a disciplina antes estabelecida para aceitação da proposta subsequente.

9.2. Caso atendidas as condições de participação, a habilitação do licitantes será verificada por meio do SICAF, nos documentos por ele abrangidos em relação à habilitação jurídica, à regularidade fiscal e trabalhista, à qualificação econômica financeira e habilitação técnica, conforme o disposto na Instrução Normativa SEGES/MP nº 03, de 2018.

9.2.1. O interessado, para efeitos de habilitação prevista na Instrução Normativa SEGES/MP nº 03, de 2018 mediante utilização do sistema, deverá atender às condições exigidas no cadastramento no SICAF até o terceiro dia útil anterior à data prevista para recebimento das propostas;

9.2.2. É dever do licitante atualizar previamente as comprovações constantes do SICAF para que estejam vigentes na data da abertura da sessão pública, ou encaminhar, em conjunto com a apresentação da proposta, a respectiva documentação atualizada.

9.2.3. O descumprimento do subitem acima implicará a inabilitação do licitante, exceto se a consulta aos sítios eletrônicos oficiais emissores de certidões feita pelo Pregoeiro lograr êxito em encontrar a(s) certidão(ões) válida(s), conforme art. 43, §3º, do Decreto 10.024, de 2019.

9.3. Havendo a necessidade de envio de documentos de habilitação complementares, necessários à confirmação daqueles exigidos neste Edital e já apresentados, o licitante será convocado a encaminhá-los, em formato digital, via sistema, no prazo de 02 (duas) horas, sob pena de inabilitação.

9.4. Havendo dúvida razoável quanto à autenticidade do documento digital ou em razão de outro motivo devidamente justificado, o Pregoeiro, a qualquer momento, poderá solicitar ao licitante o envio dos documentos originais não-digitais ou por cópia autenticada.

9.4.1 Os originais ou cópias autenticadas, caso sejam solicitados, deverão ser encaminhados à Assembleia Legislativa do Estado de Mato Grosso - Superintendência do Grupo Executivo de Licitação SGEL – ALMT, situada na Xxxxxxx Xxxxx Xxxxxxx Xxxxx, Xxxx 00, X/X, Xxxxx A, CPA, CEP: 78049- 901, Cuiabá-MT – Tel.: (00) 0000-0000.

9.5. Não serão aceitos documentos de habilitação com indicação de CNPJ/CPF diferentes, salvo aqueles legalmente permitidos.

9.6. Se o licitante for a matriz, todos os documentos deverão estar em nome da matriz, e se o licitante for a filial, todos os documentos deverão estar em nome da filial, exceto aqueles documentos que, pela própria natureza, comprovadamente, forem emitidos somente em nome da matriz.

9.6.1. Serão aceitos registros de CNPJ de licitante matriz e filial com diferenças de números de documentos pertinentes ao CND e ao CRF/FGTS, quando for comprovada a centralização do recolhimento dessas contribuições.

9.7. Ressalvado o disposto no item 5.3, os licitantes deverão encaminhar, nos termos deste Edital, a documentação relacionada nos itens a seguir, para fins de habilitação:

9.8. Habilitação Jurídica:

9.8.1. No caso de empresário individual: inscrição no Registro Público de Empresas Mercantis, a cargo da Junta Comercial da respectiva sede;

9.8.2. Em se tratando de microempreendedor individual – MEI: Certificado da Condição de Microempreendedor Individual - CCMEI, cuja aceitação ficará condicionada à verificação da autenticidade no sítio xxx.xxxxxxxxxxxxxxxxxxxx.xxx.xx;

9.8.3. No caso de sociedade empresária ou empresa individual de responsabilidade limitada - EIRELI: ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado na Junta Comercial da respectiva sede, acompanhado de documento comprobatório de seus administradores;

9.8.4. Inscrição no Registro Público de Empresas Mercantis onde opera, com averbação no Registro onde tem sede a matriz, no caso de ser o participante sucursal, filial ou agência;

9.8.5. No caso de sociedade simples: inscrição do ato constitutivo no Registro Civil das Pessoas Jurídicas do local de sua sede, acompanhada de prova da indicação dos seus administradores;

9.8.6. No caso de cooperativa: ata de fundação e estatuto social em vigor, com a ata da assembleia que o aprovou, devidamente arquivado na Junta Comercial ou inscrito no Registro Civil das Pessoas Jurídicas da respectiva sede, bem como o registro de que trata o art. 107 da Lei nº 5.764, de 1971;

9.8.7. No caso de empresa ou sociedade estrangeira em funcionamento no País: decreto de autorização;

9.8.8. Os documentos acima deverão estar acompanhados de todas as alterações ou da consolidação respectiva.

9.9. Regularidade Fiscal e Trabalhista

9.9.1. Prova de inscrição no Cadatro Nacional de Pessoa Jurídica – CNPJ ou no Cadastro de Pessoas Físicas, conforme o caso;

9.9.2. Prova de regularidade com as fazendas públicas:

a) Federal: A prova de regularidade fiscal perante a Fazenda Nacional será efetuada mediante apresentação de certidão expedida conjuntamente pela Secretaria da Receita Federal do Brasil - RFB e pela Procuradoria Geral da Fazenda Nacional - PGFN, referente a todos os tributos federais e à Dívida Ativa da União - DAU por elas administrados, inclusive aqueles relativos à Seguridade Social, nos termos da Portaria Conjunta nº 1.751, de 02/10/2014, do Secretário da Receita Federal do Brasil e da Procuradora-Geral da Fazenda Nacional.

b) Prova de regularidade, para com a Fazenda Estadual, expedida pela Secretaria de Fazenda Estadual da sede ou domicílio da licitante;

c) Prova de regularidade, para com a Dívida Ativa do Estado, expedida pela Procuradoria Geral do Estado da sede ou domicílio da licitante;

d) Serão aceitas as certidões conjuntas de regularidade fiscal estadual – Fazenda Estadual e Dívida Ativa – emitidas pelos órgãos competentes nos Estados onde a licitante tenha sede ou domicílio;

e) Prova de regularidade fiscal com a Fazenda Municipal, através de Certidão expedida pela Secretaria da Fazenda Municipal (ou órgão equivalente) da localidade ou sede da licitante;

f) Prova de regularidade, para com a Dívida Ativa do Município, expedida pela Procuradoria Geral do Município da sede ou domicílio da licitante;

g) Serão aceitas as certidões conjuntas de regularidade fiscal municipal

– Fazenda Municipal e Dívida Ativa – emitidas pelos órgãos competentes no município onde a licitante tenha sede ou domicílio;

9.9.3. Prova de Regularidade com Fundo de Garantia por Tempo de Serviço – FGTS;

9.9.4. Prova de Regularidade Trabalhista perante a Justiça do Trabalho, atráves da apresentação da Certidão Negativa de Débitos Trabalhista, conforme Lei n° 12.440, de 07 de julho de 2011.

9.9.5. Prova de Inscrição no cadastro de contribuinte Municipal e/ou Estadual, relativo ao domicilio ou sede do licitante, pertinente ao seu ramo de atividade e compatível com o objeto deste edital;

9.9.6. Caso o licitante seja considerado isento dos tributos estaduais relacionados ao objeto licitatório, deverá comprovar tal condição mediante declaração da Fazenda Estadual do seu domicílio ou sede, ou outra equivalente, na forma da lei;

9.9.7. Caso o licitante detentor do menor preço seja qualificado como microempresa ou empresa de pequeno porte deverá apresentar toda a documentação exigida para efeito de comprovação de regularidade fiscal, mesmo que esta apresente alguma restrição, sob pena de inabilitação.

9.9.8 A licitante melhor classificada deverá, também, apresentar a documentação de regularidade fiscal das microempresas e/ou empresas de pequeno porte que serão subcontratadas no decorrer da execução do contrato, ainda que exista alguma restrição, aplicando-se o prazo de regularização previsto no art. 4º, §1º do Decreto nº 8.538, de 2015.

9.10. Qualificação Econômico - Financeira:

9.10.1 Certidão Negativa de Falência, expedida pelo distribuidor da sede da pessoa jurídica, com data de até 90 (noventa) dias anteriores à data de apresentação das propostas;

9.10.2 Balanço patrimonial e demonstração de resultado do exercício (DRE) do último exercício social, já exigíveis e apresentados na forma da lei, que comprovem a boa situação financeira da empresa, vedada a sua substituição por balancetes ou balanços provisórios, podendo ser atualizados, quando encerrados há mais de 03 (três) meses da data de apresentação da proposta, tomando como base a variação, ocorrida no período, do índice IGP-DI, publicado pela Fundação Xxxxxxx Xxxxxx – FGV ou de outro indicador que o venha substituir (caso não se trate de licitante regularmente enquadrada como ME ou EPP, nos termos do art. 3º da Lei Complementar Federal nº 123, de 14 de dezembro de 2006).

9.10.2.1. No caso de fornecimento de bens para pronta entrega, não será exigido da licitante qualificada como microempresa ou empresa de pequeno porte, a apresentação de balanço patrimonial do último exercício financeiro. (Art. 3º do Decreto nº 8.538, de 2015);

9.10.2.2. No caso de empresa constituída no exercício social vigente, admite-se a apresentação de balanço patrimonial e demonstrações contábeis referentes ao período de existência da sociedade;

9.10.2.3. É admissível o balanço intermediário, se decorrer de lei ou contrato social/estatuto social.

9.10.2.4. Caso o licitante seja cooperativa, tais documentos deverão ser acompanhados da última auditoria contábil-financeira, conforme dispõe o artigo 112 da Lei nº 5.764, de 1971, ou de uma declaração, sob as penas da lei, de que tal auditoria não foi exigida pelo órgão fiscalizador

9.10.3. Declaração anual de redimentos/imposto de renda (caso se trate de licitante regularmente enquadrada como ME ou EPP, nos termos do art. 3º da Lei Complementar Federal nº 123, de 14 de dezembro de 2006).

9.10.4 A comprovação de boa situação financeira nos termos do art. 31, § 5º da Lei nº 8.666/93, será constatada mediante a obtenção de índices de Liquidez Geral (LG), Solvência Geral (SG) e Liquidez Corrente (LC), superiores a 1 (um) resultantes da aplicação das fórmulas:

LG =

SG =

LC =

Ativo Circulante + Realizável a Longo Prazo Passivo Circulante + Passivo Não Circulante Ativo Total

Passivo Circulante + Passivo Não Circulante Ativo Circulante

Passivo Circulante

9.10.5. As empresas que apresentarem resultado inferior ou igual a 1(um) em qualquer dos índices de Liquidez Geral (LG), Solvência Geral (SG) e Liquidez Corrente (LC), deverão comprovar, considerados os riscos para a Administração, e, a critério da autoridade competente, o capital mínimo ou o patrimônio líquido mínimo de 10% (Dez por cento) do valor estimado da contratação ou do item pertinente.

9.10.6. Para fins de atendimento do item 9.10 deste edital, os documentos mencionados deverão ser apresentados da seguinte forma:

9.10.6.1. Caso se trate de sociedade regida pela Lei Federal nº 6.404/76 (sociedade anônima):

9.10.6.2. Publicados em Diário Oficial;

9.10.6.3. Publicados em jornal de grande circulação;

9.10.6.4. Por fotocópia registrada ou autenticada na Junta Comercial da sede ou domicílio da licitante.

9.10.6.5. Caso se trate de sociedade por cota de responsabilidade limitada (LTDA) ou empresa individual de responsabilidade limitada (EIRELI):

9.10.6.6. Extraídos do Livro Diário, acompanhado de fotocópia do Termo de abertura e encerramento, devidamente autenticado pela Junta Comercial da sede ou domicílio da licitante ou em outro órgão equivalente.

9.10.6.7. Sociedade criada no exercício em curso:

9.10.6.8. Cópia do Balanço de Abertura, devidamente registrado ou autenticado na Junta Comercial da sede ou domicílio dos licitantes.

9.10.6.9. Os tipos societários obrigados e/ou optantes pela Escrituração Contábil Digital – ECD, consoante disposições contidas no Decreto nº 6.022/2007, regulamentado através da IN nº 1420/2013 da RFB e alterações, apresentarão documentos extraídos do Sistema Público de Escrituração Digital – Sped, na seguinte forma:

a) Recibo de Entrega de Livro Digital transmitido através do Sistema Público de Escrituração Digital – Sped, nos termos do decreto 8.683/2016, desde que não haja indeferimento ou solicitação de providências;

b) Termos de Abertura e Encerramento do Livro Diário Digital extraídos do Sistema Público de Escrituração Digital – Sped;

c) Balanço e Demonstração do Resultado do Exercício extraídos do Sistema Público de Escrituração Digital – Sped.

9.10.7. O balanço patrimonial, a demonstração do resultado do exercício (DRE), o balanço de abertura, bem como o documento referido no item 9.10.4, a serem apresentados, conforme o caso, deverão estar assinados pelos administradores da empresa constante do ato constitutivo, estatuto ou contrato social e por profissional de contabilidade legalmente habilitado no CRC.

9.10.8. Após a fase de habilitação não cabe desistência da proposta, salvo por motivo justo decorrente de fato superveniente e aceito pela Comissão.

9.11. Qualificação Técnica

9.11.1. Atestado(s) de capacidade técnica, emitido(s) por entidade pública ou privada, baseado(s) em contratação anterior pertinente ao objeto com características similares ou superiores ao deste objeto, descrevendo se os

serviços foram prestados a contento, de maneira eficiente e com qualidade, sem qualquer ressalva prejudicial.

9.11.1.1. O(s) atestado(s) deve(m) ser emitido(s) em papel timbrado da empresa ou órgão contratante, assinado por seu representante legal, discriminando o teor da contratação e os dados da empresa contratada.

9.11.1.2. Os atestados apresentados somente serão aceitos se expedidos após a conclusão do contrato.

9.11.1.3. Será admitido o somatório de atestados de períodos concomitantes.

9.11.1.4. A Assembleia Legislativa do Estado de Mato Grosso poderá promover diligências e exigir documentos adicionais para averiguar a veracidade das informações constantes na documentação apresentada, caso julgue necessário, estando sujeita à inabilitação, o licitante que apresentar documentos em desacordo com as informações obtidas, além de incorrer nas sanções previstas na Lei n.º 8.666/1993.

9.11.2. Qualificação técnico operacional, no(s) atestado(s) deverão estar contemplados, no mínimo, as seguintes parcelas de maior relevância e valor significativo:

9.11.2.1 Fornecimento de solução de Gerenciamento e Segurança da informação para proteção inteligente de dados em repouso e em transito, controle de acesso. Visibilidade e rastreabilidade de utilização em servidores de arquivos, banco de dados, utilizando custodia de chaves criptográficas composta por software e hardware;

9.11.2.2 Fornecimento de Gerenciamento de Segurança da informação contemplando ferramenta de criptografia e serviço de instalação, configuração, capacitação e integração, destinados a atender as necessidades do Projeto.

9.11.3. O(s) atestado(s) deverá(ão) conter o nome das empresas declarantes, a identificação do nome e a assinatura do responsável, bem como o número de telefone para contato.

9.11.4. O(s) atestado(s) deverá(ão) estar acompanhados de cópias dos respectivos contratos/Notas Fiscais, bem como demais documentos comprobatórios do efetivo fornecimento.

9.12. O licitante enquadrado como microempreendedor individual que pretenda auferir os benefícios do tratamento diferenciado previstos na Lei Complementar n. 123, de 2006, estará dispensado (a) da prova de inscrição nos cadastros de contribuintes estadual e municipal e (b) da apresentação do balanço patrimonial e das demonstrações contábeis do último exercício.

9.13. A existência de restrição relativamente à regularidade fiscal e trabalhista não impede que a licitante qualificada como microempresa ou empresa de pequeno porte seja declarada vencedora, uma vez que atenda a todas as demais exigências do edital.

9.13.1 A declaração do vencedor acontecerá no momento imediatamente posterior à fase de habilitação.

9.14. Caso a proposta mais vantajosa seja ofertada por licitante qualificada como microempresa ou empresa de pequeno porte, e uma vez constatada a existência de alguma restrição no que tange à regularidade fiscal e trabalhista, a mesma será convocada para, no prazo de 5 (cinco) dias úteis, após a declaração do vencedor, comprovar a regularização. O prazo poderá ser prorrogado por igual período, a critério da administração pública, quando requerida pelo licitante, mediante apresentação de justificativa.

9.15. A não-regularização fiscal e trabalhista no prazo previsto no subitem anterior acarretará a inabilitação do licitante, sem prejuízo das sanções previstas neste Edital, sendo facultada a convocação dos licitantes remanescentes, na ordem de classificação. Se, na ordem de classificação, seguir-se outra microempresa, empresa de pequeno porte ou sociedade cooperativa com alguma restrição na documentação fiscal e trabalhista, será concedido o mesmo prazo para regularização.

9.16. Havendo necessidade de analisar minuciosamente os documentos exigidos, o Pregoeiro suspenderá a sessão, informando no “chat” a nova data e horário para a continuidade da mesma.

9.17. Será inabilitado o licitante que não comprovar sua habilitação, seja por não apresentar quaisquer dos documentos exigidos, ou apresentá-los em desacordo com o estabelecido neste Edital.

9.18. Nos itens não exclusivos a microempresas e empresas de pequeno porte, em havendo inabilitação, haverá nova verificação, pelo sistema, da eventual ocorrência do empate ficto, previsto nos artigos 44 e 45 da LC nº 123, de 2006, seguindo-se a disciplina antes estabelecida para aceitação da proposta subsequente.

9.19. Constatado o atendimento às exigências de habilitação fixadas no Edital, o licitante será declarado vencedor.

10. DA PROVA DE CONCEITO

10.1 Como condição à aceitação da proposta, a licitante classificada provisoriamente em primeiro lugar deverá se submeter à PROVA DE CONCEITO, nos termos do item 15 e subitens do Termo de Referência nº 010/2021/STI/ALMT (anexo I deste edital) e Decreto Estadual nº 840, de 10 de fevereiro de 2017 .

10.2 A Secretaria de Tecnologia da Informação - STI desiguinará comissão para analisar a apresentação da prova de conceito, que emitirá parecer conclusivo, aprovando ou não a apresentação da licitante.

11. DO ENCAMINHAMENTO DA PROPOSTA VENCEDORA

11.1. A proposta final do licitante declarado vencedor deverá ser encaminhada no prazo de 02 (duas) horas, a contar da solicitação do Pregoeiro no sistema eletrônico e deverá:

11.1.1. Ser redigida em língua portuguesa, datilografada ou digitada, em uma via, sem emendas, rasuras, entrelinhas ou ressalvas, devendo a última folha ser assinada e as demais rubricadas pelo licitante ou seu representante legal.

11.1.2. Conter a indicação do banco, número da conta e agência do licitante vencedor, para fins de pagamento.

11.2. A proposta final deverá ser documentada nos autos e será levada em consideração no decorrer da execução do contrato e aplicação de eventual sanção à Contratada, se for o caso.

11.2.1. Todas as especificações do objeto contidas na proposta, tais como marca, modelo, tipo, fabricante e procedência, vinculam a Contratada.

11.3. Os preços deverão ser expressos em moeda corrente nacional, o valor unitário em algarismos e o valor global em algarismos e por extenso (art. 5º da Lei nº 8.666/93).

11.3.1. Ocorrendo divergência entre os preços unitários e o preço global, prevalecerão os primeiros; no caso de divergência entre os valores numéricos e os valores expressos por extenso, prevalecerão estes últimos.

11.4. A oferta deverá ser firme e precisa, limitada, rigorosamente, ao objeto deste Edital, sem conter alternativas de preço ou de qualquer outra condição que induza o julgamento a mais de um resultado, sob pena de desclassificação.

11.5. A proposta deverá obedecer aos termos deste Edital e seus Anexos, não sendo considerada aquela que não corresponda às especificações ali contidas ou que estabeleça vínculo à proposta de outro licitante.

11.6. As propostas que contenham a descrição do objeto, o valor e os documentos complementares estarão disponíveis na internet, após a homologação.

12. DOS RECURSOS

12.1. Declarado o vencedor e decorrida a fase de regularização fiscal e trabalhista da licitante qualificada como microempresa ou empresa de pequeno porte, se for o caso, será concedido o xxxxx xx xx xxxxxx 00 (xxxxxx) minutos, para que qualquer licitante manifeste a intenção de recorrer, de forma motivada, isto é, indicando contra qual(is) decisão(ões) pretende recorrer e por quais motivos, em campo próprio do sistema.

12.2. Havendo quem se manifeste, caberá ao Pregoeiro verificar a tempestividade e a existência de motivação da intenção de recorrer, para decidir se admite ou não o recurso, fundamentadamente.

12.2.1. Nesse momento o Pregoeiro não adentrará no mérito recursal, mas apenas verificará as condições de admissibilidade do recurso.

12.2.2. A falta de manifestação motivada do licitante quanto à intenção de recorrer importará a decadência desse direito.

12.2.3. Uma vez admitido o recurso, o recorrente terá, a partir de então, o prazo de três dias para apresentar as razões, pelo sistema eletrônico, ficando os demais licitantes, desde logo, intimados para, querendo, apresentarem contrarrazões também pelo sistema eletrônico, em outros três dias, que começarão a contar do término do prazo do recorrente, sendo-lhes assegurada vista imediata dos elementos indispensáveis à defesa de seus interesses.

12.3. O acolhimento do recurso invalida tão somente os atos insuscetíveis de aproveitamento.

12.4. Os autos do processo permanecerão com vista franqueada aos interessados, no endereço constante neste Edital.

13. DA REABERTURA DA SESSÃO PÚBLICA

13.1. A sessão pública poderá ser reaberta:

13.1.1. Nas hipóteses de provimento de recurso que leve à anulação de atos anteriores à realização da sessão pública precedente ou em que seja anulada a própria sessão pública, situação em que serão repetidos os atos anulados e os que dele dependam.

13.1.2. Quando houver erro na aceitação do preço melhor classificado ou quando o licitante declarado vencedor não assinar o contrato, não retirar o instrumento equivalente ou não comprovar a regularização fiscal e trabalhista, nos termos do art. 43, §1º da LC nº 123/2006. Nessas hipóteses, serão adotados os procedimentos imediatamente posteriores ao encerramento da etapa de lances.

13.2. Todos os licitantes remanescentes deverão ser convocados para acompanhar a sessão reaberta.

13.2.1. A convocação se dará por meio do sistema eletrônico (“chat”) e/ou e- mail, de acordo com a fase do procedimento licitatório.

13.2.2. A convocação feita por e-mail dar-se-á de acordo com os dados contidos no SICAF, sendo responsabilidade do licitante manter seus dados cadastrais atualizados.

14 . DA ADJUDICAÇÃO E HOMOLOGAÇÃO

14.1. O objeto da licitação será adjudicado ao licitante declarado vencedor, por ato do Pregoeiro, caso não haja interposição de recurso, ou pela autoridade competente, após a regular decisão dos recursos apresentados.

14.2. Após a fase recursal, constatada a regularidade dos atos praticados, a autoridade competente homologará o procedimento licitatório.

15. DA ATA DE REGISTRO DE PREÇOS

15.1. Homologado o resultado da licitação, terá o adjudicatário o prazo de 2 (dois) dias úteis, contados a partir da data de sua convocação, para assinar a Ata de Registro de Preços, cujo prazo de validade encontra-se nela fixado, sob pena de decair do direito à contratação, sem prejuízo das sanções previstas neste Edital.

15.2. Alternativamente à convocação para comparecer perante o órgão ou entidade para a assinatura da Ata de Registro de Preços, a Administração poderá encaminhá-la

para assinatura, mediante correspondência postal com aviso de recebimento (AR) ou meio eletrônico, para que seja assinada e devolvida no prazo de 2 (dois) dias úteis, a contar da data de seu recebimento.

15.3. O prazo estabelecido no subitem anterior para assinatura da Ata de Registro de Preços poderá ser prorrogado uma única vez, por igual período, quando solicitado pelo(s) licitante(s) vencedor(s), durante o seu transcurso, e desde que devidamente aceito.

15.4. Serão formalizadas tantas Atas de Registro de Preços quanto necessárias para o registro de todos os itens constantes no Termo de Referência, com a indicação do licitante vencedor, a descrição do(s) item(ns), as respectivas quantidades, preços registrados e demais condições.

15.4.1. Será incluído na ata, sob a forma de anexo, o registro dos licitantes que aceitarem cotar os bens ou serviços com preços iguais aos do licitante vencedor na sequência da classificação do certame, excluído o percentual referente à margem de preferência, quando o objeto não atender aos requisitos previstos no art. 3º da Lei nº 8.666, de 1993.

15.5. A Adesão de outros órgãos da Administração Pública, Estadual e Municipal a ata registro de preços somente poderá ser feita mediante previa autorização por escrito da Assembleia Legislativa do Estado de Mato Grosso, respeitado o disposto no § 4º do art. 22 do Decreto nº 7.892, de 23 de janeiro de 2013.

15.6. A Adesão deverá ser de acordo com os procedimentos administrativos estabelecidos na RESOLUÇÃO ADMINISTRATIVA Nº 005 – AL/MT, publicada no DOE/MT nº 26193 de 16 de dezembro de 2013, pg. 23.

16. DO TERMO DE CONTRATO OU INSTRUMENTO EQUIVALENTE

16.1. Após a homologação da licitação, será firmado Termo de Contrato ou aceito instrumento equivalente (Nota de empenho/Carta contrato/Autorização).

16.1.1 O prazo de vigência da contratação é de doze meses contados da data de sua publicação no Diário Oficial Eletrônico da ALMT, prorrogável na forma do art. 57, § 1°, da lei 8.666/93.

16.2. O adjudicatário terá o prazo de 02 (dois) dias úteis, contados a partir da data de sua convocação, para assinar o Termo de Contrato ou aceitar instrumento equivalente, conforme o caso (Nota de Empenho/Carta Contrato/Autorização), sob pena de decair do direito à contratação, sem prejuízo das sanções previstas neste Edital.

16.2.1. Alternativamente à convocação para comparecer perante o órgão ou entidade para assinar o Temo de contrato ou aceite do instrumento equivalente, a Administração poderá encaminhá-lo para assinatura ou aceite da Adjudicatária, mediante correspondência postal com aviso de recebimento (AR) ou meio eletrônico, que seja assinado ou aceito no prazo de 02 (dois) dias úteis, a contar da data do seu recebimento.

16.2.2 O prazo previsto no subitem anterior poderá ser prorrogado, por igual período, por solicitação justificada do adjudicatário e aceita pela Administração.

16.3. O Aceite da Nota de Empenho ou do instrumento equivalente, emitida à empresa adjudicada, implica no reconhecimento de que:

16.3.1 referida Nota está substituindo o contrato, aplicando-se à relação de negócios ali estabelecida as disposições da Lei nº 8.666, de 1993;

16.3.2. a contratada se vincula à sua proposta e às previsões contidas no edital e seus anexos;

16.3.3. a contratada reconhece que as hipóteses de rescisão são aquelas previstas nos artigos 77 e 78 da Lei nº 8.666/93 e reconhece os direitos da Administração previstos nos artigos 79 e 80 da mesma Lei.

16.4. O prazo de vigência da contratação é de 12 (doze) meses, a contar da data da assinatura do contrato.

16.4.1. Nos casos estabelecidos em lei, será admitida a prorrogação, desde que prevista tal possibildade no instrumento contratual.

16.5. Previamente à contratação a Administração realizará consulta ao SICAF para identificar possível suspensão temporária de participação em licitação, no âmbito do órgão ou entidade, proibição de contratar com o Poder Público, bem como ocorrências impeditivas indiretas, observado o disposto no art. 29, da Instrução Normativa nº 3, de 26 de abril de 2018, e nos termos do art. 6º, III, da Lei nº 10.522, de 19 de julho de 2002, consulta prévia ao CADIN.

16.5.1. Nos casos em que houver necessidade de assinatura do instrumento de contrato, e o fornecedor não estiver inscrito no SICAF, este deverá proceder ao seu cadastramento, sem ônus, antes da contratação.

16.5.2. Na hipótese de irregularidade do registro no SICAF, o contratado deverá regularizar a sua situação perante o cadastro no prazo de até 05 (cinco) dias úteis, sob pena de aplicação das penalidades previstas no edital e anexos.

16.6. Na assinatura do contrato, será exigida a comprovação das condições de habilitação consignadas no edital, que deverão ser mantidas pelo licitante durante a vigência do contrato.

16.7. Na hipótese de o vencedor da licitação não comprovar as condições de habilitação consignadas no edital ou se recusar a assinar o contrato ou a ata de registro de preços, a Administração, sem prejuízo da aplicação das sanções das demais cominações legais cabíveis a esse licitante, poderá convocar outro licitante, respeitada a ordem de classificação, para, após a comprovação dos requisitos para habilitação, analisada a proposta e eventuais documentos complementares e, feita a negociação, assinar o contrato ou a ata de registro de preços.

17. DOS OBRIGAÇÕES DA CONTRATADA E CONTRATANTE

17.1. As obrigações da Contratada e da Contratante são as estabelecidas no Termo de Referência e Contrato anexos a este Edital.

18. DO PAGAMENTO

18.1. As regras acerca do pagamento são as estabelecidas na Minuta de contrato, anexa a este Edital.

19. DAS SANÇÕES ADMINISTRATIVAS

19.1. No caso de descumprimento das obrigações e demais condições do contrato, garantida o direito ao contraditório e a prévia e ampla defesa da CONTRATADA, serão aplicadas as sanções administrativas estabelecidas no Termo de Referência e Contrato anexos a este Edital.

19.2. O descumprimento das obrigações e demais condições do contrato, garantida o direito ao contraditório e a prévia e ampla defesa da CONTRATADA, aplicar as seguintes sanções:

19.2.1. Advertência;

19.2.2. Multa, na forma prevista neste instrumento e no contrato;

19.2.3. Suspensão temporária do direito de participar em licitações e impedimento de contratar com a administração pública, por prazo não superior a dois anos;

19.2.4. Declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que

seja promovida a reabilitação, perante a própria autoridade que aplicou a penalidade.

19.2.5. Impedimento de licitar e contratar, nos termos do art. 7º da Lei nº. 10.520/2002.

19.3. Nas hipóteses de apresentação de documentação inverossímil, cometimento de fraude ou comportamento de modo inidôneo, a CONTRATADA poderá sofrer, além dos procedimentos cabíveis de atribuição desta instituição e do previsto no art. 7º da Lei 10.520/02, quaisquer das sanções adiante previstas, que poderão ser aplicadas cumulativamente:

19.3.1. Desclassificação ou inabilitação, caso o procedimento se encontre em fase de julgamento;

19.3.2. Cancelamento do contrato, se esta já estiver assinado, procedendo-se a paralisação do fornecimento, conforme o caso.

19.4. O licitante vencedor que desatender à convocação para assinar a Ata de Registro de Preços ou retirar a respectiva nota de empenho, no prazo estabelecido, ficará sujeito à multa de 20% (vinte por cento) sobre o seu valor global, sem prejuízo das outras sanções previstas em lei.

19.5. As multas serão descontadas dos créditos da empresa contratada ou cobradas administrativa e/ou judicialmente.

19.6. As penalidades previstas neste item têm caráter de sanção administrativa, consequentemente, a sua aplicação não exime a empresa detentora da ata, da reparação das eventuais perdas e danos que seu ato venha acarretar a Assembleia Legislativa do Estado de Mato Grosso.

19.7. As penalidades são independentes e a aplicação de uma não exclui a das demais, quando cabíveis, e as multas previstas nesta seção não eximem a CONTRATADA da reparação dos eventuais danos, perdas ou prejuízos que seu ato punível venha causar ao órgão.

19.8. A aplicação de qualquer das penalidades previstas realizar-se-á em processo administrativo que assegurará o contraditório e a ampla defesa, observando-se o procedimento previsto na Lei nº 8.666, de 1993, e subsidiariamente a Lei Estadual nº 7.692, de 2002.

20. DA IMPUGNAÇÃO AO EDITAL E DO PEDIDO DE ESCLARECIMENTO

20.1. Até 03 (três) dias úteis antes da data designada para a abertura da sessão pública, qualquer pessoa poderá impugnar este Edital.

20.2. As impugnações e os pedidos de esclarecimento poderão ser feitos por forma eletrônica, pelo email xxxx@xx.xx.xxx.xx ou por petição dirigida e protocolada no setor de protocolo geral do Edifício Sede da Assembleia Legislativa do Estado de Mato Grosso (endereço constante no rodapé).

20.3. Caberá ao Pregoeiro, auxiliado pelos responsáveis pela elaboração deste Edital e seus anexos, decidir sobre a impugnação no prazo de até dois dias úteis contados da data de recebimento da impugnação.

20.4. Acolhida a impugnação, será definida e publicada nova data para a realização do certame.

20.5. Os pedidos de esclarecimentos referentes a este processo licitatório deverão ser enviados ao Pregoeiro, até 03 (três) dias úteis anteriores à data designada para abertura da sessão pública.

20.6. O pregoeiro responderá aos pedidos de esclarecimentos no prazo de dois dias úteis, contado da data de recebimento do pedido, e poderá requisitar subsídios formais aos responsáveis pela elaboração do edital e dos anexos.

20.7. As impugnações e pedidos de esclarecimentos não suspendem os prazos previstos no certame.

20.7.1. A concessão de efeito suspensivo à impugnação é medida excepcional e deverá ser motivada pelo pregoeiro, nos autos do processo de licitação.

20.8. As respostas às impugnações e os esclarecimentos prestados pelo Pregoeiro serão juntadas aos autos do processo licitatório e estarão disponíveis para consulta por qualquer interessado.

20.9. A ocorrência de impugnação de caráter meramente protelatório, que implique no retardamento da execução do certame, poderá ensejar, assegurado o contraditório e a ampla defesa, a aplicação, pela autoridade competente, da pena estabelecida no artigo 7º da Lei nº 10.520/02 e legislação vigente.

21. DAS DISPOSIÇÕES GERAIS

21.1. Da sessão pública do Pregão divulgar-se-á Ata no sistema eletrônico.

21.2. Não havendo expediente ou ocorrendo qualquer fato superveniente que impeça a realização do certame na data marcada, a sessão será automaticamente transferida para o primeiro dia útil subsequente, no mesmo horário anteriormente estabelecido, desde que não haja comunicação em contrário, pelo Pregoeiro.

21.3. Todas as referências de tempo no Edital, no aviso e durante a sessão pública observarão o horário de Brasília – DF.

21.4. No julgamento das propostas e da habilitação, o Pregoeiro poderá sanar erros ou falhas que não alterem a substância das propostas, dos documentos e sua validade jurídica, mediante despacho fundamentado, registrado em ata e acessível a todos, atribuindo-lhes validade e eficácia para fins de habilitação e classificação.

21.5. A homologação do resultado desta licitação não implicará direito à contratação.

21.6. Poderá ocorrer após o encerramento da fase de habilitação, a solicitação de amostras ou prova de conceito, somente da primeira colocada provisória, sendo informada a data de sessão da análise da amostra ou prova de conceito, e será facultado às demais licitantes o acompanhamento da análise de amostra ou prova de conceito da primeira colocada provisória.

21.6.1. Caso a primeira colocada provisória não seja aprovada na análise de amostra ou prova de conceito, conceder-se-á o mesmo prazo para a segunda colocada provisoriamente e assim sucessivamente.

21.7. As normas disciplinadoras da licitação serão sempre interpretadas em favor da ampliação da disputa entre os interessados, desde que não comprometam o interesse da Administração, o princípio da isonomia, a finalidade e a segurança da contratação.

21.8. Os licitantes assumem todos os custos de preparação e apresentação de suas propostas e a Administração não será, em nenhum caso, responsável por esses custos, independentemente da condução ou do resultado do processo licitatório.

21.9. Na contagem dos prazos estabelecidos neste Edital e seus Anexos, excluir-se-á o dia do início e incluir-se-á o do vencimento. Só se iniciam e vencem os prazos em dias de expediente na Administração.

21.10. O desatendimento de exigências formais não essenciais não importará o afastamento do licitante, desde que seja possível o aproveitamento do ato, observados os princípios da isonomia e do interesse público.

21.11. Em caso de divergência entre disposições deste Edital e de seus anexos ou demais peças que compõem o processo, prevalecerá as deste Edital.

21.12. O Edital e seus anexos estarão disponibilizados, na íntegra, no endereço eletrônico xxx.xxx.xx/xxxxxxx.

22. DA LEGISLAÇÃO DE REGÊNCIA

22.1. Lei nº 10.520, de 17 de julho de 2002, do Decreto nº 10.024, de 20 de setembro de 2019, do Decreto nº 7.746, de 05 de junho de 2012, da Instrução Normativa SLTI/MP nº 01, de 19 de janeiro de 2010, da Instrução Normativa SEGES/MP nº 03, de 26 de abril, de 2018, da Lei Complementar n° 123, de 14 de dezembro de 2006, aplicando-se, subsidiariamente, a Lei nº 8.666, de 21 de junho de 1993.

23. DOS ANEXOS

23.1. São partes integrantes deste Edital os anexos:

a) ANEXO I – Termo de Referência

b) ANEXO II – Modelo Padrão de Proposta de Preços

c) ANEXO III - Minuta da Ata de Registro de Preços

d) ANEXO IV – Minuta Contratual

Cuiabá - MT, 27 de outubro de 2021.

Joxx Xxxxx xx Xxxxxxxxxxx

Pregoeiro Oficial - ALMT

ANEXO I

TERMO DE REFERÊNCIA N.º 010/2021/STI/ALMT

1. ÓRGÃO INTERESSADO:

Assembleia Legislativa do Estado de Mato Grosso

2. ÁREA INTERESSADA:

Secretaria de Tecnologia da Informação

3. RESPONSÁVEL PELO TERMO DE REFERÊNCIA:

Nome: Luxxxxx Xxxxxxx Xxxxxxxx

Xargo: Técnico Legislativo

Matrícula: 41.023

4. LEGISLAÇÕESAPLICÁVEIS

4.2. O presente termo de referência foi elaborado em atendimento a disposições da Lei Federal nº 10.520/02, da Lei Federal nº 12.846/13 da Lei Complementar nº 123/06, e subsidiariamente pela Lei Federal nº 8.666/93 e suas alterações, que regulamentam o art. 37, XXI da CF/88, a Instrução Normativa n.º 001/2019 e ao Decreto Estadual 840/2017.

5. DO OBJETO

5.2. Registro de preço para eventual contratação de solução de segurança da informação para proteção inteligente de dados em repouso, estruturados e não estruturados, controle de acesso, visibilidade e rastreabilidade de utilização de dados em servidores de arquivos, banco de dados ONPREMISE e na NUVEM, custódia de chaves criptográficas para ambientes em NUVEM( Pública, hibrida ou privada) composta por softwares e serviços de garantia e suporte técnico, serviços de instalação e configuração da solução, serviços de treinamento, serviços para integrações necessárias com soluções de terceiros e serviços especializados para atender às demandas da ALMT, conforme especificações técnicas e demais condições constantes deste Termo de Referência.

5.3. O prazo de vigência do contrato será de 12 (doze) meses, podendo ser prorrogável

se conveniente para a administração, conforme preceitua o art. 57, inciso II da lei nº 8.666/93. Trata-se de serviço continuado e a sua interrupção poderia comprometer a execução das atividades finalísticas da ALMT.

6. REGISTRO DE PREÇOS

6.2. O decreto 7.892, de 23 de janeiro de 2013, que disciplina o sistema de registro de preços, define as hipóteses especiais, porém não taxativas, sobre a admissão do registro de preços pela administração pública.

6.3. No caso da contratação pleiteada neste certame, o Registro de Preços é necessário uma vez que a contratação poderá ser realizada por diferentes órgãos da Administração Pública por ocasião do mecanismo de compras conjuntas, assim como viabiliza a aquisição parcelada do objeto, frente ao cenário orçamentário restritivo atual.

6.4. A aquisição através de Sistema de Registro de Preços, disciplinado pelo art. 15, inciso II e

§§ 1º a 6º da Lei nº 8.666/93 e regulamentado pelo Decreto nº 7.893/2013, possibilitará o atendimento da demanda de forma conjunta, após a adjudicação e a homologação do resultado da licitação pela autoridade competente, finalizando assim o procedimento estabelecido para o registro de preços mediante Ata de Registro de Preços, a ser firmada com a licitante vencedora para efeito de compromisso de fornecimento para futura contratação.

7. MODALIDADE DE LICITAÇÃO E CARACTERIZAÇÃO DOS SERVIÇOS

7.2. Na busca da eficiência do gasto público na contratação de serviços de Tecnologia da Informação, na celeridade processual e na ampla concorrência entre as licitantes, entende-se que estão presentes os elementos necessários ao enquadramento do objeto da contratação no art. 1°, da Lei nº 10.520, de 17 de julho de 2002, que institui, no âmbito da União, Estados, Distrito Federal e Municípios, nos termos do art. 37, inciso XXI, da Constituição Federal, modalidade de licitação denominada PREGÃO, para aquisição de bens e serviços comuns, a ser realizado na FORMA ELETRÔNICA, pelo MENOR PREÇO GLOBAL, em atenção às disposições da Instrução Normativa SLTI/MPOG nº 04/2008 e 04/2014, bem como o teor dos Acórdãos nos 313/2004, 1.114/2006, 1.480/2007 e 1.172/2008, do Tribunal de Contas da União.

7.3. CARACTERIZAÇÃO DOS SERVIÇOS

7.3.1. O art. 1°, da Lei nº 10.520, de 17 de julho de 2002, estabelece a conceituação de bens e serviços comuns:

“Art. 1° Consideram-se bens e serviços comuns, para os fins e efeitos deste artigo, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado”.

7.3.2. No Acórdão nº 313/2004 - Plenário, o Ministro Bexxxxxx Xxxxxx xefende que:

“O administrador público, ao analisar se o objeto do pregão se enquadra no conceito de bem ou serviço comum, deverá considerar dois fatores: os padrões de

desempenho e qualidade podem ser objetivamente definidos no edital? As especificações estabelecidas são usuais no mercado? Se esses dois requisitos forem atendidos o bem ou serviço poderá ser licitado na modalidade pregão. A verificação do nível de especificidade do objeto constitui um ótimo recurso a ser utilizado pelo administrador público na identificação de um bem de natureza comum. Isso não significa que somente os bens pouco sofisticados poderão ser objeto do pregão, ao contrário, objetos complexos podem também ser enquadrados como comuns”.

7.3.3. O Acórdão nº 1114/2008, também do TCU, contempla o seguinte entendimento quanto aos bens de natureza comum:

“O entendimento de bem comum, de acordo com diversos autores, nada tem a ver com a complexidade do bem adquirido e sim com produtos que sejam comumente encontrados no mercado, sem a necessidade de alterações específicas para o fornecimento em questão. Este ponto de vista pode ser avalizado conforme as interpretações a seguir”.

7.3.4. O Acórdão nº 1.480/2007, também do TCU, em seu item 91, estabelece:

“É oportuno ressaltar que, na Lei 8.666/1993, o conceito de ‘alta complexidade’ jamais é vinculado ao tipo de licitação, mas à possibilidade de exigirem-se comprovações mais rigorosas de capacidade técnica na fase licitatória de habilitação (Lei 8.666/1993, art. 30, §§ 8º e 9º). Alxxx, o próprio TCU, no Acórdão 1.114/2006-P, admitiu a regularidade da contratação de soluções tecnologicamente complexas por meio de Pregão. Portanto, complexidade também não é um fator determinante para a escolha do tipo de licitação”.

7.3.5. O item 40 do Acórdão nº 1.172/2008 do TCU traz em seu corpo o que segue:

“A Secretaria de Fiscalização em Tecnologia da Informação - Sefti apontou que o uso da modalidade de pregão para contratações de objeto inerentes à área de TI deixou de ser controverso, se observado certos requisitos e condições. Nesse sentido, a jurisprudência ampararia a utilização da modalidade para contratações de bens e serviços de TI, configurados como "comuns" - aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado (Acórdãos n. º 2.094/04 - P, n. º 740/04

- P com redação alterada pelo Acórdão n. º 1.299/06 - P, n. º 1.182/04 - P, n. º 2.138/05 – P) ”.

8. DA NATUREZA DOS SERVIÇOS

8.2. De acordo com a definição apresentada no anexo i da instrução normativa nº 2/2008 da secretaria de logística e tecnologia da informação do ministério do planejamento,

orçamento e gestão: “i – serviços continuados são aqueles cuja interrupção possa comprometer a continuidade das atividades da administração e cuja necessidade de contratação deva estender-se por mais de um exercício financeiro e continuamente”.

8.3. Diante disso, não existe um escopo taxativo de serviços que devem ser caracterizados como continuados, haja vista a necessidade de analisar o contexto fático de cada contratação, a fim de verificar o preenchimento ou não das características elencadas.

8.4. O que caracteriza um serviço como de natureza contínua é a imperiosidade da sua prestação ininterrupta em face do desenvolvimento habitual das atividades administrativas, sob pena de prejuízo ao interesse público.

8.5. Assim, é possível concluir que a presente contratação é um serviço continuado e indivisível, pois é prestado de forma permanente para a Administração Pública, não passível de divisão ou segmentação lógica ou razoável em unidades autônomas, nem módulos, nem fases, nem etapas.

9. JUSTIFICATIVA DA CONTRATAÇÃO

9.2. Nos últimos anos, é notável o aumento da complexidade do ambiente de TI da ALMT, uma vez que diversos novos sistemas e aplicações estão fazendo parte da rotina diária dos usuários internos e externos a Assembleia. Com o aumento da complexidade e da demanda por serviços online, se torna necessária a garantia de disponibilidade, integridade e performance dos sistemas, requerendo o máximo de disponibilidade, performance e integridade da informação armazenada por estes.

9.3. O Diário Oficial Eletrônico deste órgão é outro sistema crítico para a ALMT. É necessário garantir o sigilo das matérias, antes de sua publicação e sua disponibilidade após a publicação do diário.

9.4. Este ambiente, complexo, se encontra em constante evolução seja por novas aquisições ou atualizações de seus componentes e remete a alguns desafios de governança, dentre eles o de conhecer e tratar eventuais falhas de segurança na forma de um processo continuado, visando antecipar riscos e agindo de forma proativa.

9.5. Tal fato, alinhado ao aumento de demandas por fornecimentos de serviços tecnológicos por parte dessa instituição através de sistemas online e a alta complexidade do parque de ativos de infraestrutura, maximiza o risco de vazamento de dados através da exploração de eventuais falhas de segurança não conhecidas presentes no ambiente tecnológico.

9.6. No tocante à proteção contra-ataques cibernéticos, como os ocorridos em diversos órgãos federais e estaduais ao longo de 2020, do tipo RANSOMWARE e vazamento de dados confidenciais, uma solução de proteção dos dados é fundamental para preservar a integridade dos dados sensíveis, como ficha funcional e ou dados financeiros, da ALMT.

9.7. Cabe ainda ressaltar o comprometimento por parte deste órgão em atingir a conformidade com padrões e normas do mercado privado e público, incluindo a Lei nº

13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou por pessoa jurídica de direito público ou privado.

9.8. A presente contratação dos softwares e serviços que constam neste termo de referência, se faz necessária para que essa instituição assegure maiores índices de segurança em seu parque tecnológico e informações, recursos de anonimização e pseudonimização dos dados e custódia inteligente de chaves criptográficas face ao grande número de vazamento de dados que são reportados diariamente pelo portal ANPD.

9.9. Enquanto isso, regulamentações de proteção de dados e melhores práticas do setor conforme definido pela Cloud Security Alliance, exigem que as chaves sejam armazenadas e gerenciadas em ambiente diferente das operações de criptografia associadas. Os provedores podem atender requisitos, oferecendo serviços “Traga sua própria chave” (BYOK) para habilitar o controle do cliente das chaves usadas para criptografar seus dados.

9.10. A solução aqui descrita é fundamental para que a ALMT obtenha êxito na criação e manutenção de um processo contínuo de proteção de dados, seja em servidores de arquivos (dados em repouso), aplicações, banco de dados (dados estruturados) ou em ambientes em nuvem.

9.11. Sem um processo que proteja o dado, seja onde ele estiver, a ALMT estará sujeita a passar por incidentes de segurança com grave impacto ao desempenho institucional, tais como indisponibilidade nos serviços fornecidos, acesso e distribuição ilegal de informações e tempo investido pela equipe no tratamento e resposta de ocorrências.

9.12. Esta necessidade ampara-se ainda na determinação do Tribunal de Contas da União sobre Segurança da Informação que, dentre as quais, cita-se o Acórdão nº 1233/2012- TCU-Plenário, item 9.8:

9.12.1.“Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que ... em atenção a Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8)”.

9.13. Conclui-se da necessidade de aquisição de uma tecnologia que apoie a Gerência de Tecnologia da Informação na missão de proteger as informações (dados), implantando uma solução que impeça o acesso às Informações por pessoas não autorizadas. Assim como pautar formalmente uma política de desastre e recuperação nesta Casa de Leis.

9.14. BENEFÍCIOS ESPERADOS

9.14.1.Redução na quantidade de incidentes de segurança.

9.14.2.Proteção de dados em repouso, e atuação preventiva com relação a vazamento de dados.

9.14.3.Apoiar as áreas de demais áreas da ALMT no controle da segurança da informação.

9.14.4.Atingir conformidade com a Lei 13.709 – Lei Geral de Proteção de Dados e demais padrões de segurança recomendados para órgãos da administração pública, com a aplicação de medidas técnicas razoáveis para proteger dados pessoais/sensíveis, através de relatórios de acessos.

9.14.5.Criar um ambiente protegido para a administração dos dados, segregando as funções de administração de servidores/sistemas e administração de dados.

9.14.6.Viabilizar a estratégia de jornada para nuvem por garantir a Proteção de Dados, com custódia e controle de acesso exclusivamente a ALMT, com gestão e armazenamento seguro das chaves de criptografia, evitando perda de informações.

9.14.7.Administração dos dados de forma centralizada, com visibilidade de relatórios.

9.14.8.Atuação preventiva com relação a vazamento de dados.

10. JUSTIFICATIVA QUANTO AO AGRUPAMENTO DOS ITENS EM LOTE ÚNICO

10.2. O agrupamento dos itens em lote único levou em consideração questões técnicas, bem como o ganho de economia em escala, sem prejuízo a ampla competividade, uma vez que existem no mercado várias empresas com capacidade de fornecer os produtos na forma em que estão agrupados neste TR. O agrupamento encontra ainda justificativa em decisões já deliberadas pelo TCU sobre a matéria, tais como, o informativo 106 do TCU que traz decisão que “A aquisição de itens diversos em lotes deve estar respaldada em critérios justificantes“, adotando o entendimento do acórdão 5260/2011 – TCU – 1a câmara, de 06/07/2011, que decidiu que “Inexiste ilegalidade na realização de pregão com previsão de adjudicação por lotes, e não por itens, desde que os lotes sejam integrados por itens de uma mesma natureza e que guardem correlação entre si”.

10.3. Para organizar e alcançar maior economia de escala no processo de aquisição, visando resultado com maior vantajosidade para esta administração, vez que o aumento de quantitativos geram a consequente redução de preços a serem pagos.

10.4. Para facilitar a execução e fiscalização do contrato, propiciando maior nível de controle pela Administração, sendo prática comum reconhecida pelo mercado.

10.5. Ademais, a própria Assembleia Legislativa, já se manifestou no sentido de que, no caso específico, nas hipóteses de licitação com diversidade de objetos, o entendimento tem sido o de que o parcelamento ou não do objeto da licitação deve ser auferido sempre no caso concreto, perquirindo-se essencialmente acerca da viabilidade técnica e econômica do parcelamento e da divisibilidade do objeto, conforme se vê no Acórdão nº 732/2008, o TCU se pronunciou no sentido de que "a questão da viabilidade do

fracionamento deve ser decidida com base em cada caso, pois cada obra tem as suas especificidades, devendo o gestor decidir analisando qual a solução mais adequada no caso concreto".

10.6. Considerando o caso concreto a divisão desta licitação em lotes, afetaria a qualidade dos serviços, bem como a entrega efetiva da solução que se pretende contratar, desta feita, ressalta-se que não é possível o parcelamento ou a divisibilidade em razão da própria natureza do objeto.

10.7. Assim posto, resta claro que o agrupamento dos itens em lote único não é opcional, mas sim, estritamente necessário a aquisição de elementos de forma agrupada, sejam eles de serviços ou produtos, não cabendo assim, o fatiamento do fornecimento de outra forma, que o apresentado neste documento.

11. DA DESCRIÇÃO DA SOLUÇÃO, ESPECIFICAÇÕES TÉCNICAS E QUANTIDADES

11.2. Estimativa de Bens e Serviços previstos para a presente contratação:

Lote único
Item	Descrição da Solução	Métrica	Unidade	Quantidade
1	Console de Gerenciamento em Alta Disponibilidade	Hardware	UN	2
2	Suporte para Console de Gerenciamento – 12 meses	Serviço	UN	12
3	Agentes de Proteção de dados estruturados multiplataforma	Software	UN	3
4	Suporte para Agentes de Proteção de dados Estruturados multiplataforma– 12 meses	Serviço	UN	12
5	Solução para transferência Segura de Base de Dados	Software	UN	2
6	Suporte para Solução para transferência Segura de Base de Dados– 12 Meses	Serviço	UN	12
7	Agentes de Proteção de Dados não estruturados multiplataforma	Software	UN	10
8	Suporte para agentes de Proteção de Dados não estruturados multiplataforma	Serviço	UN	10
9	Agentes de Proteção de Dados para Aplicação multiplataforma	Software	UN	5
10	Suporte para Agentes de Proteção de Dados para Aplicação multiplataforma– 12 meses	Serviço	UN	5
11	Agentes para proteção e custodia de chaves multicloud– Termo de Licenciamento por 12 meses	Software	UN	2
12	Agentes para Gestão de Chaves Local	Software	UN	10
13	Suporte para Agentes para Gestão de Chaves Local – 12 meses	Serviço	UN	12

14	Agentes para Descoberta e Classificação de Dados – Termo de Licenciamento por 12 meses – 50TB	Software	UN	1
15	Serviços de Implementação de Console de Gerenciamento	Serviço	UN	2
16	Serviços sob demanda para Implementação de Agentes	Serviço	UST	3000
17	Serviços de Treinamento	Serviço	UN	10
18	Consultoria para Avaliação periódica ( HealthCheck )	Serviço	UN	6
19	Consultoria sob demanda para emissão de relatórios de conformidade com a LGPD	Serviço	UN	6

11.3. DESCRIÇÃO DA SOLUÇÃO TECNOLÓGICA

11.3.1.A plataforma e/ou ferramental tecnológico deverá atender às seguintes especificações técnicas e requisitos de gestão:

11.3.1.1. A solução ofertada deve reduzir ao máximo a ocorrência de incidentes internos de segurança monitorando a atividade de credenciais com acessos privilegiados (ex. Administradores, root, etc.), bem como impedindo que estes usuários acessem o conteúdo dos dados. Isso tudo, sem que os mesmos percam privilégio para administrar o ambiente de tecnologia;

11.3.1.2. A solução ofertada deve estabelecer o controle de acesso para esse tipo de usuário e identificar atividades suspeitas gerando logs destas atividades;

11.3.1.3. A solução ofertada deve estabelecer um modelo de proteção para informações de tal forma que o dado seja devidamente criptografado no sistema de arquivos. Desta forma, além de impedir a extração não autorizada, mesmo em caso de vazamento acidental dos dados, deverá garantir que os dados não possam ser acessados fora do ambiente gerenciado pela plataforma de segurança, uma vez que não terão a chave de criptografia necessária para acessar a informação;

11.3.1.4. A solução ofertada deve prover mecanismos de prevenção de infecção ou ataques a arquivos por malware, APT, ransomware, ataques gerados por acesso não autorizado, modificações em bibliotecas entre outros, quando estes forem originados de usuários com acesso privilegiado;

11.3.1.5. A solução ofertada deve ser flexível e escalável, adequando-se às necessidades de crescimento da empresa contratante;

11.3.1.6. A solução ofertada precisa permitir a anonimização dos dados pessoais e/ou confidenciais, conforme definido no artigo 12 da Lei Geral de Proteção de Dados Brasileira (LGPD);

11.3.1.7. A solução ofertada deve proteger sistemas de dados estruturado (bancos de dados) e sistemas de dados não estruturado (incluindo arquivos de aplicativos da Microsoft, voz, vídeo e texto em geral) em um ambiente heterogêneo de sistemas operacionais e plataformas de operação;

11.3.2. A solução ofertada deve suportar pelo menos:

11.3.2.1. Sistemas operacionais Microsoft Windows Server, e Linux;

11.3.2.2. Os bancos de dados suportados devem incluir MS-SQL, MySQL e arquivos;

11.3.2.3. Provedores de nuvem suportados devem incluir AWS S3, Azure, Office 365, e IBM Cloud;

11.3.2.4. A solução ofertada deve suportar tudo com console de gerenciamento centralizada para facilitar o processo de administração, controle de acesso, gestão e logs e manutenção da solução de proteção de dados;

11.3.2.5. Soluções baseadas em software livre não serão aceitas.

12. REQUISITOS FUNCIONAIS DA SOLUÇÃO

12.2. CONSOLE DE GERENCIAMENTO – ITEM 01.

12.2.1.A solução deverá prover um console de gerenciamento composta por um conjunto integrado de produtos baseados em uma infraestrutura comum e extensível, com gerenciamento centralizado de políticas e de chaves, reduzindo o esforço de administração e o custo total de propriedade.

12.2.2.O Console de Gerenciamento deve oferecer recursos para proteger e controlar o acesso a dados estruturados e não estruturados hospedados em ambientes físicos e virtuais, ONPREMISES e na NUVEM.

12.2.3.A solução deve prover um console único que permita o gerenciamento centralizado de todos os agentes de criptografia, suas chaves de criptografia, políticas de configuração, publicação e controle de acesso dos dados a serem protegidos.

12.2.4.O console deve possuir certificação FIPS 140-2, Common Criteria, ou outra equivalente, para garantir total segurança das chaves de criptografia.

12.2.5.O console de gerenciamento centralizado deve suportar agentes para as funcionalidades que seguem:

12.2.5.1. Criptografia transparente – para criptografar, controlar o acesso ao dado e oferecer registros de auditoria de acesso aos dados sem impactar nas aplicações, base de dados ou infraestrutura onde quer que os servidores estejam instalados;

12.2.5.2. Integração com SIEM–suportar integração com os sistemas de gerenciamento de logs do mercado, como: Splunk, qRadar, Arcsight, McAfee, LogRhythm e etc;

12.2.5.3. Segurança de container - oferecer criptografia de dados, controle de acesso e registro de acesso ao dado;

12.2.5.4. Gerenciamento de chaves em nuvem múltipla – permitir custódia e controle de dados em ambiente de software como serviço (SaaS), relatório de acesso e eficiência no gerenciamento do ciclo de vida da chave em nuvem com o conceito Traga sua Própria Chave (BYOK);

12.2.5.5. Toquenização e mascaramento de dados - reduzir os custos e o esforço necessários para cumprir com as políticas de segurança e normas regulatórias

como o LGPD, dentre outras;

12.2.5.6. Criptografia para aplicações – simplificar o processo de adição de criptografia em aplicações, por meio de Ais baseadas em padrões que potencializem operações criptográficas e de gerenciamento de chaves de alto desempenho.

12.2.6.O console deve ser capaz de ser configurada em alta disponibilidade (HA) com um servidor primário e outro secundário. A configuração de alta disponibilidade deve permitir a hospedagem dos servidores primário e secundário em datacenters distintos e conectados.

12.2.7.Apoiar a incorporação de vários consoles adicionais para fins de configuração de esquemas de tolerância a falhas multinível.

12.2.8.Os agentes instalados nos servidores devem operar de forma autônoma não causando impacto em caso de perda de comunicação com o console.

12.2.9.Os agentes devem fazer a rotação/mudança de chaves “a quente”, ou seja, sem indisponibilidade nos servidores de dados.

12.2.10. Cada console deve ter a capacidade de suportar o crescimento.

12.2.11. Detalhes da chave de criptografia não devem ser divulgados para usuários do sistema para que o algoritmo de criptografia esteja protegido dos usuários da plataforma. Estes devem ser armazenados de forma segura em um dispositivo virtual dedicado aos serviços de segurança dentro do console.

12.2.12. É desejável que todos os elementos da solução sejam do mesmo fabricante, porém serão aceitas soluções compostas por mais de um fabricante desde que estes fabricantes comprovem interoperabilidade e suporte a solução ofertada.

12.2.13. O console deve possuir capacidade de gerenciar chaves criptográficas padrão KMIP.

12.2.14. Deve ser compatível com API PKCS # 11 e Microsoft Key Extensible Management.

12.2.15. Deve ser capaz de oferecer suporte a certificados digitais (X. 509) PKCS # 7, PKCS # 8 e PKCS # 12, chaves de criptografia simétrica (algoritmos3DES, AES128, AES256, ARIA128 e ARIA256) e assimétrica (algoritmos RSA1024, RSA2048, RSA4096).

12.2.16. Deve ser escalável para oferecer suporte a gerenciamento de agente de vários serviços em uma estrutura de Multitenant e com suporte a configuração de segurança de vários domínios. Para isso, deve possibilitar configurar diferentes chaves criptográficas de acordo com cada área de operação, se necessário.

12.2.17. Quando aplicada a separação de funções, o console deve permitir que o usuário do sistema crie chaves de criptografia, outro usuário pode aplicá-las e outro, que não seja o anterior, consiga monitorar o mesmo durante a aplicação.

12.2.18. O console deve possibilitar gerenciamento via interface Web, possibilitar comandos (CLI) e API (SOAP, REST).

12.2.19. Deve requerer autenticação de usuário e senha e, opcionalmente, dois fatores RSA.

12.2.20. Deve ser capaz de configurar cópias de backup de suas configurações

automaticamente ou manualmente.

12.2.21. Requerimentos complementares:

12.2.21.1. Suportar usuários múltiplos;

12.2.21.2. Escalabilidade comprovada para mais de 10.000 agentes;

12.2.21.3. Cluster para alta disponibilidade (HA);

12.2.21.4. Toolkit e interface de programação;

12.2.21.5. Integração infraestrutura de autenticação existente, com fácil configuração;

12.2.21.6. Suporte para API RESTfull;

12.2.21.7. Autenticação multi-fator;

12.2.21.8. Opções de instalação:

12.2.21.8.1. Sistema virtual com certificação FIPS 140-2 Nível, ou certificação compatível;

12.2.21.8.2. O sistema virtual deve ser compatível com VMware ou Hyper-V.

12.3. AGENTES DE PROTEÇÃO DE DADOS ESTRUTURADOS MULTIPLATAFORMA – ITEM 03.

12.3.1.Este agente deve fornecer criptografia de banco de dados (dados estruturados) para dados em repouso com gerenciamento centralizado de chaves, controle de acesso de usuários, incluindo usuários privilegiados, e registro detalhado de auditoria de acesso visando atender aos requisitos de conformidade e práticas recomendadas para proteger os dados, onde quer que estejam. O agente deverá residir no sistema operacional ou na camada de dispositivo, e a criptografia e a descriptografia devem ser transparentes para todos os aplicativos executados acima dela.

12.3.2.O processo de criptografia deve ser executado por agentes que serão instalados nos servidores de banco de dados.

12.3.3.Esses agentes devem oferecer suporte a sistemas operacionais Microsoft, e/ou Linux.

12.3.4.Eles devem ser compatíveis com bancos de dados estruturados e não estruturados, incluindo MS-SQL Server, MySQL.

12.3.5.Deve ser compatível com servidores físicos e versões virtualizadas.

12.3.6.Sua implementação não deve exigir qualquer alteração no banco de dados ou na aplicação.

12.3.7.Estes devem usar os recursos de aceleração disponíveis, como o AES-NI. A implementação destes não deve gerar uma carga incremental, típica em servidores, de mais de 5%.

12.3.8.Além de criptografar o banco de dados, os agentes devem ser capazes de criptografar arquivo, volume ou diretório desses servidores de forma que eles possam proteger informações estruturadas e não estruturadas (por exemplo:

imagens, vídeos, arquivos voz, syslog, etc.).

12.3.9.Os agentes devem registrar e rastrear o acesso dos usuários de sistema aos arquivos e ser capaz de bloquear ou restringir este acesso.

12.3.10. As políticas de controle de acesso devem poder ser aplicadas mesmo aos usuários privilegiados do sistema e estes não devem possuir autoridade para desfazer a política de acesso na tentativa de elevar novamente seu privilégio.

12.3.11. Essas diretivas devem permitir e serem baseadas em usuário, processo, tipo de arquivo e agendamento.

12.3.12. As políticas devem poder ser aplicadas aos usuários locais, ou igualmente integradas no AD ou no LDAP.

12.3.13. Os agentes devem ter a capacidade de armazenar chaves de criptografia em memória para que eles não exijam conectividade com o console de gerenciamento, para poder aplicar processos de criptografia e descriptografia.

12.3.14. Os logs de atividade do usuário devem poder de ser enviados para uma solução de SIEM através de um servidor de syslog ou no formato CEF, em tempo real e nativamente.

12.3.15. A solução deve suportar ambiente em nuvem, tais como AWS, Azure, pelo menos.

12.3.16. A solução deve ter a capacidade de integrar os serviços de gerenciamento de chaves fornecendo serviços de gerenciamento de chaves no local ou na nuvem, para aplicações como Xxxxxxxxxx.xxx.

12.3.17. Registrar todas as tentativas de acesso permitido, negado e restrito de usuários, aplicativos e processos.

12.3.18. Possuir políticas de acesso baseadas em função para controlar quem, o que, onde, quando e como os dados podem ser acessados.

12.3.19. Permitir que usuários privilegiados executem seu trabalho sem acesso a dados em texto não criptografado.

12.3.20. Requerimentos complementares:

12.3.20.1. Compatibilidade com os sistemas operacionais:

• Windows Server: 2008, 2012 e 2016.

• Windows: 7; 8,1 e 10.

• Linux: RedHat 6.7-6.10; CentOS 6.7-6.10, Red Hat 7.0-7.6, Ubuntu e Debian.

12.3.20.2. Permitir criptografia para múltiplos fabricantes de banco de dados, tais como:

• MySQL (Windows, Linux);

• MS SQL (Windows).

12.4. SOLUÇÃO PARA TRANSFERÊNCIA SEGURA DE BASE DE DADOS – ITEM 05.

12.4.1.A Este agente deve permitir o mascaramento dos dados sensíveis para permitir o compartilhamento seguro com terceiros, ambientes de teste, ambientes de desenvolvimento e outros casos de uso aplicáveis.

12.4.2.O funcionamento deve ser baseado em tabela e/ou coluna. Informa-se o que deverá ser mascarado no novo banco de dados de destino. Com isso, dados não identificados podem ser compartilhados.

12.4.3.A solução de ser customizável e de alta performance.

12.4.4.A solução deve suportar, pelo menos, as operações de criptografia / toquenização e descriptografia / detoquenização de tabelas e / ou colunas.

12.4.5.A solução deve ser transparente para a aplicação ou banco de dados com acesso via conexão ODBC. Ou seja, não deve requerer alterações ou instalações adicionais no servidor de banco de dados.

12.4.6.A solução deve suportar, pelo menos, arquivo CSV, Microsoft SQL Server, MySQL.

12.4.7.A solução deve permitir replicação de arquivo para arquivo, banco de dados para banco de dados, arquivo para banco de dados e banco de dados para arquivo.

12.4.8.Pelo menos os seguintes modelos devem ser suportados: Standard AES Encryption, Batch random Tokenization e Batch FPE FF3/FF1.

12.5. AGENTES DE PROTEÇÃO DE DADOS NÃO ESTRUTURADOS MULTIPLATAFORMA – ITEM 07.

12.5.1.Este agente deve fornecer criptografia de servidor de arquivo (dado não estruturado) para dados em repouso com gerenciamento centralizado de chaves, controle de acesso de usuários, incluindo usuários privilegiados, e registro detalhado de auditoria de acesso visando atender aos requisitos de conformidade e práticas recomendadas para proteger os dados, onde quer que estejam. O agente deverá residir no sistema operacional ou na camada de dispositivo, e a criptografia e a descriptografia devem ser transparentes para todos os aplicativos executados acima dela.

12.5.2.O processo de criptografia deve ser executado por agentes que deverão ser instalados nos servidores de arquivos.

12.5.3.Os agentes devem oferecer suporte a sistemas operacionais Microsoft e/ou Linux.

12.5.4.Deve ser compatível com servidores físicos e versões virtualizadas.

12.5.5.Sua implementação não deve exigir qualquer alteração no servidor de arquivo ou processo para manuseio do dado pelo usuário final.

12.5.6.Deve ser capaz de criptografar arquivo, volume ou diretório desses servidores de forma que eles possam proteger informações não estruturadas (por exemplo: imagens, vídeos, arquivos voz, syslog, etc.).

12.5.7.Os agentes devem registrar e rastrear o acesso dos usuários de sistema aos arquivos e ser capaz de bloquear ou restringir este acesso.

00.0.0.Xx políticas de controle de acesso devem poder ser aplicadas mesmo aos usuários

privilegiados do sistema e estes não devem possuir autoridade para desfazer a política de acesso na tentativa de elevar novamente seu privilégio.

12.5.9.Essas diretivas devem permitir serem baseadas em usuário, processo, tipo de arquivo e agendamento.

12.5.10. As políticas devem ser aplicadas aos usuários locais, ou igualmente integradas no AD ou no LDAP.

12.5.11. Os agentes devem ter a capacidade de armazenar chaves de criptografia em memória para que eles não exijam conectividade com o console de gerenciamento para poder aplicar processos de criptografia e descriptografia.

12.5.12. Os logs de atividade do usuário devem ter a capacidade de ser enviado para uma solução de SIEM através de um servidor de syslog ou no formato CEF, em tempo real e nativamente.

12.5.13. A solução deve suportar ambiente em nuvem, tais como AWS, Azure, pelo menos.

12.5.14. Registrar todas as tentativas de acesso permitido, negado e restrito de usuários, aplicativos e processos.

12.5.15. Possuir políticas de acesso baseadas em função para controlar quem, o que, onde, quando e como os dados podem ser acessados.

12.5.16. Permitir que usuários privilegiados executem seu trabalho sem acesso a dados em texto não criptografado.

12.5.17. Compatibilidade com os sistemas operacionais:

• Windows Server: 2008, 2012 e 2016.

• Windows: 7; 8,1 e 10.

• Linux: RedHat 6.7-6.10; CentOS 6.7-6.10, Red Hat 7.0-7.6, Ubuntu e Debian.

12.6. AGENTES DE PROTEÇÃO DE DADOS PARA APLICAÇÃO MULTIPLATAFORMA – ITEM 09.

12.6.1.Este agente deve permitir a toquenização vaultless com o Dynamic Data Masking, para eficientemente Anonimizar dados, incluindo dados pessoais, quer eles residem onpremises, ambientes de big data ou a nuvem. Com isso, reduzir o escopo de conformidade substituindo dados confidenciais por um token não- sensível que olha e age como o original. Ou seja, proteção de dados sem a necessidade de alterar bancos de dados. Depois que os dados confidenciais são substituídos pelo token, os sistemas não estão mais sujeitos a conformidade, significando menos esforço para atender regulamentações.

12.6.2.Possuir alto desempenho com baixo impacto na performance da aplicação.

12.6.3. Possuir servidores de token virtual escalável. 12.6.4.Comunicação via TLS autenticado mutuamente. 12.6.5.Interface REST API com chamadas individuais e em lote.

12.6.6.Permitir geração de Tokens Aleatórios.

12.6.7.Compatível com FPE FF1, Tokens FF3.

12.6.8.Permitir Mascaramento Dinâmico ou Estático de Dados.

12.6.9.Gerenciamento de chaves e políticas.

12.6.10. Suporte AD / LDAP.

12.6.11. Suporte a dados numéricos e alfanuméricos.

12.6.12. Permitir a criação de tokens em formatos numéricos, de texto e de data para aplicativos únicos ou múltiplos.

12.6.13. Permitir utilizar grupos de usuários LDAP para decidir quais informações são exibidos para grupos específicos. Por exemplo, operadoras de call center versus gerentes de call center.

12.6.14. Suportar servidor de tokens no formato virtual de sua escolha: OVF, ISO, Microsoft Azure Marketplace ou Amazon AMI.

12.6.15. Restringir o acesso a ativos confidenciais sem alterar os esquemas do banco de dados, sem interrupções.

12.6.16. Proteger dados em trânsito e em repouso.

12.6.17. Mascarar os dados em ambiente de desenvolvimento, teste e terceirizados com acesso ao banco de dados.

12.6.18. Proteger DBAs, administradores de sistema, root, e usuários mal-intencionados com acesso direto ao banco, uma vez que os dados que este irão acessar não são dados reais.

12.7. AGENTES PARA PROTEÇÃO E CUSTODIA DE CHAVES MULTICLOUD – ITEM 11.

12.7.1.A Este agente deve prover o controle de chave pelo próprio cliente permitindo a separação, criação, propriedade, controle e revogação das chaves de criptografia sem a dependência do provedor. Deverá reduzir a complexidade do gerenciamento de chaves, dando ao próprio cliente controle de ciclo de vida de chaves de criptografia com gerenciamento centralizado, visibilidade e rastreabilidade.

12.7.2.Deverá cumprir com os regulamentos de proteção de dados e armazenamento de chaves rigorosos podendo chegar a FIPS 140-2 Nível 3, ou certificação equivalente.

12.7.3.Prover eficiência com gerenciamento de chave centralizado em ambientes de nuvem híbrida.

12.7.4.Fornecer acesso a cada provedor de nuvem a partir de uma única janela do navegador, incluindo várias contas ou assinaturas.

12.7.5.Rotacionar de forma automática as chaves para cumprir com regulamentações que exigem este serviço de rotação de chave.

12.7.6.Fornecer mecanismos simples, via login federado, para conceder acesso aos dados. Com isso, ser compatível com logins de serviços em nuvem que são autenticados e autorizados pelo provedor de serviços, isto é, nenhum banco de dados de login

nem configuração AD ou LDAP é necessário.

12.7.7.Fornecer meios para solicitar a criação de chaves nos provedores de nuvem e fornecer gerenciamento completo do ciclo de vida das mesmas.

12.7.8.Controlar e gerenciar centralizadamente várias nuvens, IaaS e SaaS (Multicloud).

12.7.9.Prover registro (log), rastreabilidade e relatórios de conformidade totalmente independente do provedor de nuvem.

12.7.10. O agente deve suportar, pelo menos, os provedores de nuvem que seguem:

12.7.10.1. Microsoft Azure;

12.7.10.2. Microsoft Office365;

12.7.10.3. Amazon Web Services.

12.8. AGENTES PARA GESTÃO DE CHAVE LOCAL – ITEM 12.

12.8.1.Ser capaz de centralizar o gerenciamento de chaves de aplicativos de terceiros que usam criptografia nativa, tal como bancos de dados.

12.8.2.O agente deve ter a capacidade de conectar-se com os aplicativos por meio de interfaces padrão e fornecer acesso às funções robustas de gerenciamento de chaves.

12.8.3.Prove simplificação e redução da carga operacional por meio do gerenciamento centralizado de chaves.

12.8.4.Elevar o nível de segurança pela separação das chaves de criptografia das aplicações, banco de dados, storage e etc.

12.8.5.Gerenciar chave utilizando soluções de hardware ou software com certificação FIPS ou equivalente.

12.8.6.Suportar o protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP / PKCS) que é o padrão do setor para troca de chaves de criptografia entre clientes (usuários principais) e um servidor (armazenamento de chaves). A padronização simplifica o gerenciamento de chaves externas.

12.8.7.Garantir a custódia de chaves para, pelo menos:

12.8.7.1. A Oracle TDE;

12.8.7.2. SQL TDE;

12.8.7.3. Nutanix;

12.8.7.4. VMWare;

12.8.7.5. Cisco;

12.8.7.6. Netapp;

12.8.7.7. Certificados;

12.8.7.8. Aplicações desenvolvidas em casa;

12.8.7.9. Outros volumes compatíveis.

12.9. AGENTES PARA DESCOBERTA E CLASSIFICAÇÃO DE DADOS – ITEM 14.

12.9.1.A solução deverá possibilitar a descoberta de dados, em ambiente de dados estruturados e não estruturados, armazenados em diferentes repositórios, tais como:

12.9.1.1. Servidores de Arquivos;

12.9.1.2. Bancos de Dados;

12.9.1.3. Estações de trabalho.

12.9.2.A solução deve permitir, através de interface única, realizar o levantamento e entendimento dos dados existentes, sua localização e riscos associados, permitindo:

12.9.2.1. Atender aos requisitos de privacidade;

12.9.2.2. Obter visibilidade sobre os dados que estão em risco de exposição;

12.9.2.3. Suportar a criação de plano de privacidade e proteção de dados.

12.9.3.A solução ofertada deverá possibilitar, pelo menos, quatro níveis de classificação de dados por padrão:

12.9.3.1. Restrito;

12.9.3.2. Privado;

12.9.3.3. Interno;

12.9.3.4. Público.

12.9.4.A solução deve atribuir pontuações de risco que permitam identificar o nível de sensibilidade dos dados, como arquivos e bancos de dados, agregando os seguintes parâmetros:

12.9.4.1. Nível de proteção;

12.9.4.2. Quantidade de elementos encontrados;

12.9.4.3. Localização;

12.9.4.4. Quantidade de dados confidenciais.

00.0.0.Xx pontuações de risco devem permitir identificar os dados com maior exposição e permitir priorizar medidas de proteção.

12.9.6.A solução deve suportar os seguintes ambientes:

12.9.6.1. Armazenamento local em Hard Disk e Memória dos computadores;

12.9.6.2. Armazenamentos em rede;

12.9.6.3. Compartilhamento Windows CIS e SMB;

12.9.6.4. Network File System NFS;

12.9.6.5. Bancos de Dados:

12.9.6.6. SQL.

12.9.7.A solução deve suportar os seguintes tipos de arquivos:

12.9.7.1. Banco de Dados: 12.9.7.1.1. Access; 12.9.7.1.2. Dbase; 12.9.7.1.3. SQLite;

12.9.7.1.4. MSSQL MDF & LDF.

12.9.7.2. Arquivos de Imagens:

12.9.7.2.1. BMP;

12.9.7.2.2. FAX;

12.9.7.2.3. GIF;

12.9.7.2.4. JPG;

12.9.7.2.5. PDF;

12.9.7.2.6. PNG;

12.9.7.2.7. TIF.

12.9.7.3. Arquivos Compactados:

12.9.7.3.1. bzip2;

12.9.7.3.2. Gzip (todos os tipos);

12.9.7.3.3. TAR;

12.9.7.3.4. Zip (todos os tipos).

12.9.7.4. Microsoft Backup:

12.9.7.4.1. Microsoft Binary / BKF.

12.9.7.5. Microsoft Office: v5, 6, 95, 97, 2000, XP, 2003 e superiores.

12.9.7.6. Open Source: 12.9.7.6.1. Star Office; 12.9.7.6.2. Open Office.

12.9.7.7. Padrões abertos: 12.9.7.7.1. PDF; 12.9.7.7.2. HTML; 12.9.7.7.3. CSV; 12.9.7.7.4. TXT.

12.9.8.A solução deve classificar os dados como:

12.9.8.1. Dado pessoal;

12.9.8.2. Dados financeiros, com base em modelos integrados ou técnicas de classificação.

12.9.9.Deve possibilitar a identificação de informações padronizadas do Brasil, tais como:

12.9.9.1. Registro Geral (RG);

12.9.9.2. CPF;

12.9.9.3. CNH;

12.9.9.4. Passaporte.

12.9.10. A solução deve permitir a inclusão de modelos de políticas (descoberta e classificação) específicas para LGPD.

12.9.11. A solução deve fornecer relatórios detalhados para demonstrar conformidade com a Lei Geral de Proteção de Dados (LGPD).

12.9.12. A solução deve possibilitar a classificação de dados utilizando:

12.9.12.1. Regex,

12.9.12.2. Patterns,

12.9.12.3. Algoritmos,

12.9.12.4. Contexto.

12.9.13. A solução deve permitir ser implementada “com” ou “sem” agentes instalados.

12.9.14. A solução deve possuir as seguintes características funcionais:

12.9.14.1. Políticas: definir as políticas de privacidade de dados, locais e perfis de varredura e de classificação;

12.9.14.2. Descoberta: localizar dados estruturados e não estruturados, através de toda a organização em ambientes big data, banco de dados e sistema de armazenamento de arquivos;

12.9.14.3. Classificação: classificar dados pessoais e sensíveis, baseado em modelos pré-configurados e técnicas de classificação;

12.9.14.4. Análise de risco: entender a natureza do dado e seus riscos, oferecendo visualizações;

12.9.14.5. Relatórios: gráficos e relatórios de análise de risco, status e alertas durante todo o ciclo de vida do dado.

12.10. SERVIÇOS DE TREINAMENTO – ITEM 17.

12.10.1. O treinamento de capacitação técnica será ministrado para até 8 participantes selecionados pela ALMT, com carga horária mínima de 16 (dezesseis) horas, material oficial do fabricante, e conteúdo necessários a capacitá-los para utilizar o Sistema ofertado.

12.10.2. Deverá ser emitido certificado de participação ao final do curso.

12.10.3. Todo o material didático deve ser repassado de forma impressa e em mídia para os alunos.

12.10.4. Somente serão aceitos materiais oficiais dos fornecedores do Sistema ofertado, e não será permitida a adaptação sobre apostilas/conteúdos de cursos não oficiais.

12.10.5. Os instrutores deverão possuir experiência em didática, além de possuir certificação comprovada na área de segurança, em pelo menos uma das seguintes certificações:

12.10.5.1. ISC2 CSSLP - Certified Secure Software Lifecycle Professional (ISO/IEC 17024);

12.10.5.2. ISC2 CISSP – Certified Information System Security Professional;

12.10.5.3. ISC2 ISSAP – Information System Security Architect Professional;

12.10.5.4. CISM – Certified Information Security Manager;

12.10.5.5. CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security.

12.10.6. O treinamento deverá ocorrer nas dependências da CONTRATANTE, ou local por ela indicado na capital do estado, ficando responsável por montar o ambiente adequado para realização do mesmo, isto é, todo o espaço necessário assim como toda infraestrutura computacional e de rede necessária. Caberá à CONTRATADA instalar a solução ou possibilitar o acesso ao Sistema no ambiente de treinamento.

12.10.7. Todas as despesas relativas à execução do treinamento serão de exclusiva responsabilidade da CONTRATADA, incluindo os gastos com instrutores, seu deslocamento e hospedagem, a confecção e distribuição dos originais do material didático e a emissão de certificados para os profissionais treinados.

12.11. CONSULTORIA PARA AVALIAÇÃO PERIÓDICA (HEALTHCHECK) – ITEM 18.

12.11.1. O Serviço deverá rever a implementação existente, validando as suas políticas de operação e proteção. Estes elementos serão avaliados contra as melhores práticas de mercado e as políticas específicas do cliente. Todos os procedimentos operacionais, e configurações deverão ser avaliados e documentados para garantir a estabilidade de integridade e tolerância a falhas.

12.11.2. O Serviço deverá contemplar toda a solução implementada desde as consoles até os agentes de proteção de dados.

12.11.3. Deverá ser executado mediante emissão de ordens de serviço.

12.11.4. Deverá ser executado periodicamente de não excedendo o intervalo de dois meses entre as execuções.

12.11.5. O Serviço deverá ser executado nas dependências do cliente, prioritariamente, em horário comercial. Caso o CLIENTE julgue necessário poderá ser agendada uma janela de manutenção fora do horário comercial sem custos adicionais para a contratante.

12.11.6. As Seguintes atividades deverão ser cobertas pelo serviço:

12.11.6.1. Verificar a configuração da solução, versão instalada e os requisitos de atualização, provendo relatório de impacto e orientação de planejamento para atualização;

12.11.6.2. Verificar a configuração de alta disponibilidade e status de replicação;

12.11.6.3. Verificar os procedimentos para fail-over;

12.11.6.4. Verificar os procedimentos de backup e restauração da plataforma, e as configurações do custodiante da chave;

12.11.6.5. Verificar as configurações de contas de administradores e domínios em relação aos requisitos de segurança;

12.11.6.6. Verificar os níveis e configurações de log atuais, a integração com quaisquer ferramentas SIEM e fornecer qualquer orientação sobre melhorias;

12.11.6.7. Verificar se as melhores práticas para backup automático e chaves estão implementadas e documentadas;

12.11.6.8. Identificar quaisquer políticas atualmente no modo de aprendizagem e o impacto potencial de permanecer nesse estado;

12.11.6.9. Avaliar e verificar os procedimentos gerais de implantação para criar e atualizar políticas e verificar a eficácia geral das políticas;

12.11.6.10. Analisar as configurações de log da solução e fazer as recomendações para eliminar mensagens de log desnecessárias e reduzir o número de logs que a solução precisa processar;

12.11.6.11. Demonstrar e executar relatórios que podem ser usados para verificar os resultados;

12.11.6.12. Revisar os procedimentos de atualização dos agentes de proteção instalados, como políticas de criptografia, configuração de hosts e instalação dos agentes;

12.11.6.13. Revisar os procedimentos operacionais existentes ou procedimentos de implantação de melhores práticas definidos e fazer recomendações e alterações conforme necessário;

12.11.6.14. Emitir relatório de status de saúde geral (HealthCheck) do ambiente contemplando, no mínimo, todos os itens de revisão e verificação.

12.11.7. Ao término da execução dos serviços de “HealthCheck” os relatórios deverão serão apresentados à contratada em mídia eletrônica para emissão do termo de aceite da ordem de serviço.

12.12. CONSULTORIA SOB DEMANDA PARA EMISSÃO DE RELATÓRIOS DE CONFORMIDADE COM A LGPD – ITEM 19.

12.12.1. O Serviço deverá realizar uma varredura no ambiente protegido pela solução identificando, neste ambiente, todos os pontos de não-conformidade com a LGPD.

12.12.2. O Serviço deverá contemplar toda a solução implementada desde os consoles até os agentes de proteção de dados.

12.12.3. O Serviço deverá ser executado nas dependências do cliente, prioritariamente, em horário comercial. Caso o CLIENTE julgue necessário poderá ser agendada uma janela de manutenção fora do horário comercial sem custos adicionais para a contratante.

12.12.4. As seguintes atividades deverão ser cobertas pelo serviço:

12.12.4.1. Verificar a configuração do agente de descoberta e classificação de dados, versão instalada e os requisitos de atualização, provendo relatório de impacto

e orientação de planejamento para atualização;

12.12.4.2. Verificar as configurações de classificação de dados, fazendo as recomendações de melhorias;

12.12.4.3. Verificar a programação de varredura implementada, comparando com as políticas de segurança da contratante;

12.12.4.4. Verificar os logs das últimas varreduras identificando ocorrências de falhas e gerando recomendações para correções;

12.12.4.5. Avaliar as configurações de classificação de dados pessoais / sensíveis de acordo com a LGPD e suas atualizações, quando ocorrerem;

12.12.4.6. Realizar a varredura em todo ambiente atendido pela solução de proteção;

12.12.4.7. Gerar relatório de riscos e painéis gráficos;

12.12.4.8. Gerar relatório de conformidade com a LGPD;

12.12.4.9. Gerar recomendações de correção;

12.12.4.10. Emitir relatório consolidado da varredura com a evidência de todas as atividades realizadas, Painel de conformidade e lista de recomendações.

12.12.5. Ao término da execução dos serviços de “Consultoria sob demanda para emissão de relatórios de conformidade com a LGPD” o (s) relatório (s) deverão ser apresentados à contratada em mídia eletrônica para emissão do termo de aceite da ordem de serviço.

12.13. FORNECIMENTO DAS LICENÇAS.

12.13.1. O fornecimento das licenças que compõem a solução deverá ocorrer por intermédio de ordem de fornecimento de bens.

12.13.2. A CONTRATADA terá o prazo de 5 (cinco) dias úteis para realizar a entrega das licenças a partir da data de emissão da ordem de fornecimento de bens.

12.13.3. As licenças deverão ser fornecidas na forma de certificado nomeadas a ALMT, e com os respectivos números de série.

12.13.4. Na ocasião do fornecimento das licenças, deverão ainda ser entregues os aplicativos instaladores (executáveis/binários) acompanhados de documentação técnica em formato digital (manuais de operação) de cada software que compõe a solução.

12.14. INSTALAÇÃO E CONFIGURAÇÃO.

12.14.1. A implantação da solução será realizada por intermédio da abertura de Ordem de Serviço específica.

12.14.2. As seguintes atividades fazem parte de seu escopo:

12.14.2.1. Elaboração de plano de instalação, contendo todos os requisitos técnicos, etapas, prazos e matriz de responsabilidades;

12.14.2.2. Instalação da solução todos os módulos que a compõe, no ambiente

disponibilizado pela ALMT;

12.14.2.3. Configurações necessárias para emissão de alertas através do sistema de correio eletrônico da ALMT;

12.14.2.4. Integração com NOC da ALMT.

12.14.3. Caberá a ALMT disponibilizar o ambiente tecnológico para que a solução da CONTRATADA seja instalada e configurada.

12.14.4. O prazo máximo para a execução do serviço é de 30 (trinta) dias úteis, a contar da data em que a ALMT disponibilizar o ambiente e credenciais de acesso para a execução da instalação e configurações.

12.14.5. Ao término da execução do serviço, a CONTRATADA deverá elaborar um relatório com evidência de todo o processo de instalação, e ceder credenciais de acesso à equipe da ALMT.

12.14.6. O serviço de instalação e configuração da solução foi estimado como atividade de ocorrência única, posto que uma vez concluído, servirá como base para todos os outros serviços que fazem parte do escopo do contrato.

12.14.7. A instalação e configuração da plataforma deverá ser realizada nas dependências da ALMT, em horário comercial.

12.15. MANUTENÇÃO, SUPORTE TÉCNICO E GARANTIA.

12.15.1. A CONTRATADA deverá disponibilizar o canal de suporte técnico, através de serviço telefônico, por no mínimo, 8x5 (oito horas por dia, cinco dias por semana), com atendimento, obrigatoriamente em língua portuguesa, falada no Brasil, devendo operar, no mínimo, em dias úteis no horário comercial, das 8h (oito horas) às 18h (dezoito horas), horário de Brasília.

12.15.2. A CONTRATADA deverá fornecer suporte técnico no Brasil, obrigatoriamente em língua portuguesa, falada no Brasil para prestar atendimento e resolver todos os problemas relacionados às possíveis falhas ou interrupções de funcionamento da solução proposta, sempre que solicitado pela ALMT;

12.15.3. A CONTRATADA deverá disponibilizar por meio da Internet uma aplicação WEB para registro dos chamados de suporte técnico através de login e senha fornecida para os usuários autorizados da ALMT. De modo a assegurar alta disponibilidade do canal de suporte técnico para o Sistema fornecido, o registro de chamados deve estar disponível em regime de 24x7x365 (vinte e quatro horas por dia durante todos os dias do ano, inclusive sábados, domingos e feriados).

12.15.4. Cada pessoa cadastrada no sistema como usuário deverá receber identificação e senha que permitam acesso seguro tanto ao sistema, como ao recurso de abertura de chamadas de suporte técnico, de maneira a evitar que pessoas não autorizadas possam acionar o serviço.

12.15.5. A ALMT poderá efetuar um número ilimitado de chamados para suporte técnico, durante a vigência do contrato, para suprir suas necessidades com relação aos produtos de segurança.

12.15.6. Para efeito de avaliação dos níveis de serviços prestados no suporte técnico, considerar-se-á a contagem de tempo de atendimento apenas para os chamados abertos no curso do período de atendimento, em horário comercial, de modo que os chamados abertos fora deste período serão contabilizados apenas a partir do início do período útil operacional seguinte.

12.15.7. Relatórios sobre a prestação dos serviços:

12.15.7.1. A contratada fornecerá relatórios mensais sobre a prestação dos serviços, em papel e em arquivo eletrônico, preferencialmente em formato PDF, com informações analíticas e sintéticas sobre os serviços realizados, incluindo-se chamados abertos e fechados, enfatizando aqueles resolvidos no período.

12.15.7.2. Constarão dos relatórios dados de todos os chamados ocorridos no período, data e hora de abertura do chamado, data e hora de início do atendimento, data e hora de fechamento do chamado, nome da pessoa que abriu o chamado, nome da pessoa que efetuou o atendimento, descrição do problema e descrição da solução.

12.15.7.3. Também devem constar dados da reabertura de chamados, quando for o caso, que foram fechados sem serem devidamente resolvidos e que, por esse motivo, necessitaram ser reabertos.

12.15.7.4. Deverá ainda apresentar relatório para cada solicitação de suporte remoto, contendo data e hora da solicitação de suporte técnico, do início e do término do atendimento, identificação do problema, providências adotadas e demais informações pertinentes.

12.15.8. Os atendimentos das ocorrências técnicas devem ser realizados em acordo com os critérios definidos pelos níveis de serviço da tabela abaixo, estando sujeita a CONTRATADA, no caso do descumprimento dos prazos, às sanções especificadas a seguir:

	NÍVEL DE SEVERIDADE DO CHAMADO
	BAIXA	MÉDIA	ALTA	URGENTE
Descrição do chamado	Problema técnico que gere pouco ou baixo impacto na utilização da solução.	Problema técnico que impeça a utilização parcial de uma funcionalidade, não impedindo por completo seu uso.	Problema técnico que impeça completamente a utilização de uma funcionalidade.	Problema técnico que impeça a utilização da solução em sua totalidade.
Prazo para atendimento da ocorrência	Até 12 horas úteis	Até 8 horas úteis	Até 4 horas úteis	Até 0,5 horas úteis

12.15.9. Sempre que o fabricante da solução disponibilizar versões mais atuais da solução oferecida, a licitante deverá fornecer estas versões e releases dos softwares da solução para a ALMT, sem ônus adicionais, enquanto o contrato estiver vigente.

12.15.10.Entende-se por manutenção corretiva a série de procedimentos destinados ao reestabelecimento operacional da solução com todas suas funcionalidades, motivados pela ocorrência de incidentes na solução e/ou problemas recorrentes na solução, compreendendo, inclusive, atualização de softwares por um substituto de igual ou maior configuração, ajustes, reparos, correções necessárias;

12.15.11.Entende-se por suporte técnico aquele efetuado mediante atendimento telefônico ou remoto, para resolução de problemas e esclarecimentos de dúvidas sobre a configuração e utilização da solução.

12.15.12.Os serviços deverão ser realizados por meio de técnicos especializados, devidamente credenciados para prestar os serviços de garantia e assistência técnica remoto, de forma rápida, eficaz e eficiente, sem quaisquer despesas adicionais para a ALMT, inclusive quanto às ferramentas, equipamentos e demais instrumentos necessários à sua realização.

12.16. DESCRIÇÃO DOS SERVIÇOS ESPECIALIZADOS.

12.16.1. O fornecimento dos serviços especializados objeto deste certame observará o seguinte quantitativo:

Item	Descrição	Unidade	Quantidade
	SERVIÇOS SOB DEMANDA PRA IMPLEMENTAÇÃO DE AGENTES	UST	3000

12.16.2. Os serviços especializados tratam da operacionalização da gestão de chaves criptográficas, com apoio presencial de pessoal especializado ou remoto caso definido pela ALMT, devendo ser solicitado mediante emissão de ordem de serviço, informando às aplicações que farão parte do escopo do serviço.

12.16.3. Todas as atividades desempenhadas relativas aos serviços especializados deverão ser executadas nas dependências da ALMT, respeitando o horário de funcionamento da ALMT, e com o acompanhamento e ciência dos servidores.

12.16.4. Os serviços especializados serão demandados de acordo com a necessidade da ALMT, de forma proporcional ao número de agentes de criptografia instalados, mensurados através da métrica de UST, considerando que uma hora de trabalho equivale a uma UST.

12.16.5. Dada as diferentes atividades que compõem os serviços especializados, foram definidos três níveis de complexidade que visam garantir o equilíbrio físico- financeiro de sua execução, conforme disposto na tabela abaixo:

Nível de Complexidade	Definição
Normal	Cada hora de trabalho equivale a uma UST.
Média	Cada hora de trabalho equivale a duas UST’s
Alta	Cada hora de trabalho equivale a três UST’s.

12.16.6. Os serviços especializados deverão ser executados por colaboradores da CONTRATADA, respeitando as normas de segurança da informação da ALMT, executando as atividades observando criteriosamente o escopo definido nas

respectivas ordens de serviços.

12.17. SERVIÇO DE SUPORTE PARA CONSOLE DE GERENCIAMENTO E SEUS AGENTES DE PROTEÇÃO.

12.17.1. Suporte técnico 24x7.

12.17.2. Troubleshooting problemas de comunicação com os agentes.

12.17.3. Escalação de problemas para as áreas responsáveis de Administração e Operação.

12.17.4. Atuação em chamados de problemas e incidentes abertos no Help Desk.

12.17.5. Atualização dos chamados.

12.17.6. Apoio e esclarecimento de causa raiz do problema.

12.17.7. Detalhamento da solução adotada.

12.17.8. Documentação de evidências.

12.17.9. Confecção de relatórios mensais da saúde e principais eventos do gerenciamento.

13. DO VALOR ESTIMADO DA CONTRATAÇÃO

13.2. Considerando as pesquisas de preço realizadas, juntos as empresas do ramo, verificamos que o valor global da contratação será:

LOTE ÚNICO

Item

Descrição da Solução

Métrica

Unidade

Quant idade

Valor Unitário (R$)

Valor Total

Anual

(R$)

Console de Gerenciamento em Alta Disponibilidade.

Hardware

Unidade

R$ 669.267,35

R$ 1.338.534,70

Suporte para Console de Gerenciamento – 12 meses

Serviço

Unidade

R$ 32.901,43

R$ 394.817,16

Agentes de Proteção de dados estruturados multiplataforma

Software

Unidade

R$ 99.830,00

R$ 299.490,00

Suporte para Agentes de Proteção de dados

Estruturados multiplataforma– 12 meses

Serviço

Unidade

R$ 5.919,43

R$ 71.033,16

Solução para transferência Segura de Base de Dados

Software

Unidade

R$ 560.141,36

R$ 1.120.282,72

Suporte para Solução para transferência Segura de Base de Dados– 12 Meses

Serviço

Unidade

R$ 46.972,01

R$ 563.664,12

Agentes de Proteção de Dados não estruturados multiplataforma

Software

Unidade

R$ 84.746,92

R$ 847.469,20

Suporte para agentes de Proteção de Dados não estruturados

Serviço

Unidade

R$ 22.151,70

R$ 221.517,00

Agentes de Proteção de Dados para Aplicação multiplataforma

Software

Unidade

R$ 115.870,38

R$ 579.351,90

Suporte para Agentes de Proteção de Dados para Aplicação multiplataforma– 12

meses

Serviço

Unidade

R$ 36.256,22

R$ 181.281,10

Agentes para proteção e custodia de chaves multicloud– Termo de Licenciamento por 12

meses

Software

Unidade

R$ 357.075,00

R$ 714.150,00

Agentes para Gestão de Chaves Local

Software

Unidade

R$ 38.481,95

R$ 384.819,50

Suporte para Agentes para Gestão de Chaves Local – 12 meses

Serviço

Unidade

R$ 9.745,00

R$ 116.940,03

Agentes para Descoberta e Classificação de Dados – Termo de Licenciamento por 12 meses – 50TB

Software

Unidade

R$ 489.177,43

Serviços de Implementação de Console de Gerenciamento

Serviço

Unidade

R$ 24.245,47

R$ 48.490,94

Serviços sob demanda para Implementação de Agentes

Serviço

UST

3000

R$ 264,74

R$ 794.520,00

Serviços de Treinamento

Serviço

Unidade

R$ 20.120,02

R$ 201.200,20

Consultoria para Avaliação periódica ( HealthCheck )

Serviço

Unidade

R$ 66.421,07

R$ 398.526,42

Consultoria sob demanda para emissão de relatórios de conformidade com a LGPD

Serviço

Unidade

R$ 71.740,30

R$ 430.441,80

VALOR TOTAL

R$ 9.195.707,38

14. COMPROVAÇÃO DA EXPERIENCIA TÉCNICA E CAPACIDADE TÉCNICA

14.1 A licitante vencedora deverá apresentar, para sua qualificação técnico operacional, na fase de habilitação, atestado de Capacidade Técnica, emitido por pessoa jurídica de direito público ou privado, que comprove a aptidão da empresa proponente no desempenho de atividades compatíveis e de natureza semelhante em características com o objeto desta licitação, atestando, inclusive, o bom desempenho e cumprimento a contento das obrigações contratuais, no(s) atestado(s) deverão estar contemplados, no mínimo, as seguintes parcelas de maior relevância e valor significativo:

14.1.1 Fornecimento de solução de Gerenciamento e Segurança da informação para proteção inteligente de dados em repouso e em transito, controle de acesso. Visibilidade e rastreabilidade de utilização em servidores de arquivos, banco de dados, utilizando custodia de chaves criptográficas composta por software e hardware;

14.1.2 Fornecimento de Gerenciamento de Segurança da informação contemplando ferramenta de criptografia e serviço de instalação, configuração, capacitação e integração, destinados a atender as necessidades do Projeto.

14.2 O(s) atestado(s) deverá(ão) conter o nome das empresas declarantes, a identificação do nome e a assinatura do responsável, bem como o número de telefone para

contato.

14.3 O (s) atestado(s) deverá(ão) estar acompanhados de cópias dos respectivos contratos/Notas Fiscais, bem como demais documentos comprobatórios do efetivo fornecimento.

14.4 A Assembleia Legislativa do Estado de Mato Grosso reserva-se ao direito, caso julgue necessário, de realizar diligências nos documentos acima indicados, a fim de comprovar a execução, o escopo dos serviços fornecidos e a veracidade das informações prestadas.

14.5 Considerando a especificidade do serviço a ser oferecido na contratação em tela, se faz necessário e imprescindível as exigências especificadas neste item.

15 DA PROVA DE CONCEITO

15.1 A licitante classificada provisoriamente em primeiro lugar será submetida à prova de conceito a fim de comprovação de atendimento as exigências técnicas e demais requisitos obrigatórios, contidos neste Termo de Referência, em observância no disposto nos Art. 2, XXIV e artigo 12, §1º ambos da Instrução Normativa n.º 001/2019, que dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação – TIC, que vem a subsidiar esta STI nas referidas contratações.

15.2 A solução apresentada que não atender a 100% (cem por cento) das exigências deste Termo, e da prova de conceito, será considerada inapta, estando, portanto, desclassificada a licitante vencedora, sendo convocada a licitante seguinte na ordem classificatória para realização de prova de conceito e assim sucessivamente até que uma das licitantes participantes apresente solução que atenda plenamente às exigências deste documento.

15.3 A prova de conceito será realizada em sessão aberta a iniciar mediante solicitação do pregoeiro, começando no primeiro dia útil subsequente, caso este prazo coincida com feriado ou final de semana, no horário de 08h às 12h e das 14h às 18h.

15.4 A licitante classificada provisoriamente em primeiro lugar, que não comparecer para efetuar a prova de conceito, se recusar por qualquer motivo a efetuar a prova de conceito e/ou não atender aos critérios estabelecidos neste Termo de Referência, inclusive quanto aos requisitos mínimos considerados, será imediatamente considerada inapta para assinatura do contrato, sendo imediatamente desclassificada.

15.5 Serão avaliados todos os itens integrantes deste Termo de Referência, respeitado o atendimento de todas as características descritas em cada funcionalidade.

15.6 A comprovação das exigências para todos os itens deverá ser realizada em até 05 (cinco) dias úteis, caso necessite deste prazo para conclusão de demonstração;

15.7 Os testes poderão ser executados nas dependências da Assembleia Legislativa do Estado de Mato Grosso obedecendo aos seguintes critérios:

15.7.2 Toda a infraestrutura necessária à execução da Prova de Conceito deverá ser fornecida pela Licitante, sendo a Assembleia Legislativa do Estado de Mato Grosso responsável apenas pelo fornecimento do espaço físico adequado e energia elétrica;

15.7.3 Opcionalmente, serão aceitos testes realizados em ambiente de Nuvem.

16 DOS CRITÉRIOS DE ELABORAÇÃO DA PROPOSTA COMERCIAL

16.1 A proposta da licitante deverá conter a especificação clara dos bens e serviços, obedecida a mesma ordem constante deste Termo de Referência, sem conter alternativas de preços, ou de qualquer outra condição que induza o julgamento a ter mais de um resultado.

16.2 A proposta da licitante deverá estar integralmente preenchida, discriminando os valores unitários e totais dos bens e serviços objeto deste Termo de Referência.

16.3 A proposta deverá conter declaração da licitante de que se encontra apta a prestar todos os serviços pertinentes ao objeto ofertado.

16.4 A licitante deverá apresentar ainda, juntamente com sua proposta:

16.4.2 catálogo, folder, prospectos, fotos ou folhetos ilustrativos, ou manual técnico elaborado pela fabricante, ou documento extraído de consulta realizada pela internet, devendo, nesse caso, ser indicado o endereço eletrônico, que possibilite uma análise clara e inequívoca sobre as características do objeto ofertado.

17 DAS ORDENS DE SERVIÇO (OS)

17.1 Todo e qualquer serviço somente será executado pela CONTRATADA mediante uma Ordem de Serviço (O.S.), autorizada por representante da Secretaria de Tecnologia da Informação (Gestor do Contrato).

17.2 As Ordens de Serviço serão consideradas como adendos ao Contrato e deverão descrever os serviços de forma detalhada, contemplando a identificação do tipo de serviço, a complexidade, os prazos, os requisitos de qualidade, e o responsável pelo atesto na ALMT.

18 LOCAL DE EXECUÇÃO DOS SERVIÇOS

18.1 O objeto deste termo de referência será entregue na Secretaria de Tecnologia da Informação – Edifício Xxxxx Xxxxxxx xx Xxxxxxxx, Xxxx Xxxxxx, Xxxxxxx Xxxxx Xxxxxxx Xxxxx, Xxxx 00, Xxxxx X, XXX, XXX 00000-000 – Cuiabá, Mato Grosso, Brasil.

18.2 HORÁRIO: das 08h00min às 12h00min e das 14h00min às 18h00min, de segunda à sexta-feira, com “PRÉ-AGENDAMENTO” pelo telefone (00) 0000-0000.

19 DOS CRITÉRIOS DE ACEITAÇÃO DOS PRODUTOS E DOS SERVIÇOS

19.1 Nos termos dos artigos 73 a 76 da Lei 8.666/1993, o objeto do presente TERMO DE REFERÊNCIA será recebido:

19.1.2 Provisoriamente, pela Secretaria de Tecnologia da Informação, no ato da entrega, para posterior verificação da conformidade dos produtos e/ou serviços com as especificações;

19.1.3 Se for constatada desconformidade do(s) produtos e serviços apresentado(s) em relação às especificações, o CONTRATADO deverá efetuar a troca ou correção, no prazo estabelecido neste termo de referência, a contar do recebimento da solicitação.

19.1.4 Neste caso, o recebimento do(s) produto(s) e/ou serviços escoimado(s) dos vícios que deram causa a sua troca será considerado recebimento provisório, ensejando nova contagem de prazo para o recebimento definitivo.

19.1.5 Definitivamente, no prazo de 30 (trinta) dias, contados do recebimento provisório, após criteriosa inspeção e verificação e análise por Comissão de Recebimento, a ser designada, de que os bens ou serviços a serem adquiridos encontram-se em perfeitas condições de utilização, além de atenderem às especificações do objeto contratado.

19.2 O aceite/aprovação do(s) produto(s) ou serviço(s) pelo órgão licitante não exclui a responsabilidade civil do CONTRATADO por vícios de quantidade ou qualidade do(s) produto(s) ou disparidades com as especificações estabelecidas, verificadas, posteriormente, garantindo-se a Assembleia Legislativa do Estado de Mato Grosso as faculdades previstas no art. 18 da Lei n.º 8.078/90.

19.3 A inspeção pode gerar a recusa de artefatos por motivo de vícios de qualidade ou por não observância dos padrões adotados pela STI.

20 DA SUBCONTRATAÇÃO

20.1 Dispõe a Lei nº 8.666/93, em seu art. 72, que a CONTRATADA, na execução do contrato, sem prejuízo das responsabilidades contratuais e legais, poderá subcontratar partes do serviço ou fornecimento, até o limite admitido, em cada caso, pela Administração. A subcontratação, desde que prevista no instrumento convocatório, possibilita que terceiro, que não participou do certame licitatório, realize parte do objeto.

20.2 Será admitida a subcontratação parcial do objeto entre os limites mínimo e máximo de 5% e 50%, respectivamente, do valor total do contrato, nas seguintes condições:

20.2.2 É vedada a sub-rogação completa ou da parcela principal da obrigação. São obrigações adicionais da contratada, em razão da subcontratação:

20.2.3 Apresentar a documentação de regularidade fiscal das microempresas e empresas de pequeno porte subcontratadas, sob pena de rescisão, aplicando-se o prazo para regularização previsto no § 1º do art. 4º do Decreto nº 8.538, de 2015;

20.2.4 Substituir a subcontratada, no prazo máximo de trinta dias, na hipótese de extinção da subcontratação, mantendo o percentual originalmente subcontratado

até a sua execução total, notificando o órgão ou entidade contratante, sob pena de rescisão, sem prejuízo das sanções cabíveis, ou a demonstrar a inviabilidade da substituição, hipótese em que ficará responsável pela execução da parcela originalmente subcontratada;

20.2.5 Em qualquer hipótese de subcontratação, permanece a responsabilidade integral da Contratada pela perfeita execução contratual, bem como pela padronização, pela compatibilidade, pelo gerenciamento centralizado e pela qualidade da subcontratação, cabendo-lhe realizar a supervisão e coordenação das atividades da subcontratada, bem como responder perante a Contratante pelo rigoroso cumprimento das obrigações contratuais correspondentes ao objeto da subcontratação. Não será aplicável a exigência de subcontratação quando a licitante for qualificada como microempresa ou empresa de pequeno porte.

21 DO CONTROLE E FISCALIZAÇÃO DE EXECUÇÃO

21.1 No momento da contratação será realizada a nomeação, pela Assembleia Legislativa, da Comissão ou servidor do quadro para exercer a fiscalização do(s) Contrato(s).

21.2 O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços, dos materiais, técnicas e equipamentos empregados, de forma a assegurar o perfeito cumprimento do ajuste, que serão exercidos pelos representantes da Contratante, especialmente designados, na forma dos arts. 67 e 73 da Lei nº 8.666, de 1993.

21.3 As atividades de gestão e fiscalização da execução contratual são o conjunto de ações que tem por objetivo aferir o cumprimento dos resultados previstos pela Administração para o serviço contratado, verificar a regularidade das obrigações previdenciárias, fiscais e trabalhistas, bem como prestar apoio à instrução processual e o encaminhamento da documentação pertinente ao setor de contratos para a formalização dos procedimentos relativos a repactuação, alteração, reequilíbrio, prorrogação, pagamento, eventual aplicação de sanções, extinção do contrato, dentre outras, com vista a assegurar o cumprimento das cláusulas avençadas e a solução de problemas relativos ao objeto.

21.4 As atividades de gestão e fiscalização da execução contratual devem ser realizadas de forma preventiva, rotineira e sistemática, podendo ser exercidas por servidores, equipe de fiscalização ou único servidor, desde que, no exercício dessas atribuições, fique assegurada a distinção dessas atividades e, em razão do volume de trabalho, não comprometa o desempenho de todas as ações relacionadas à Gestão do Contrato.

21.5 A fiscalização poderá ser efetivada com base em critérios estatísticos, levando-se em consideração falhas que impactem o contrato como um todo e não apenas erros e falhas eventuais no pagamento de alguma vantagem a um determinado empregado.

21.6 O fornecimento dos materiais e a execução dos serviços em desacordo com o objeto deste documento sujeitará a aplicação das sanções legais cabíveis.

21.7 O representante da Assembleia Legislativa anotará em registro próprio todas as ocorrências relacionadas com a execução do contrato, determinando o que for necessário à regularização das faltas ou defeitos observados.

21.8 As decisões e providências que ultrapassarem a competência do fiscal do Contrato

deverão ser solicitadas aos seus superiores em tempo hábil para a adoção das medidas convenientes.

21.9 É assegurado à fiscalização o direito de ordenar a suspensão dos serviços sem prejuízo das penalidades a que fica sujeito a CONTRATADA e sem que esta tenha direito a indenização, no caso de não ser atendida em até 4 (quatro) horas, a contar da comunicação pelo gestor do contrato, qualquer reclamação sobre defeito em serviço executado.

21.10 Caberá a fiscalização atestar os serviços que forem efetivamente executados e aprovados.

21.11 A gestão e fiscalização do contrato se darão mediante o acompanhamento de indicadores de desempenho, disponibilidade e qualidade, que compõem o acordo de níveis de serviços entre a ALMT e a CONTRATADA.

22 DA VISTORIA

22.1 Para o correto dimensionamento e elaboração de sua proposta, a licitante deverá realizar vistoria nas instalações do local de execução dos serviços, acompanhado por servidor designado para esse fim, de segunda à sexta-feira, das 8:00 às 18:00 horas, devendo o agendamento ser efetuado previamente pelo telefone (65) 0000- 0000, na Secretaria de Tecnologia da Informação, localizada na Sede da ALMT, localizada na Xx. Xxxxx Xxxxx, 0 - Xxxxxx Político Administrativo, Cuiabá - MT, 78049- 901.

22.2 O prazo para vistoria iniciar-se-á no dia útil seguinte ao da publicação do Edital, estendendo-se até o dia útil anterior à data prevista para a abertura da sessão pública.

22.3 Para a vistoria, o licitante, ou o seu representante, deverá estar devidamente identificado.

22.4 A Declaração De Vistoria, deverá ser assinada pelos representantes dessa instituição e da Licitante, comprovando que a empresa realizou a vistoria técnica para conhecimento dos serviços necessários, do ambiente tecnológico dessa instituição e das condições técnicas para sua realização.

22.5 A Licitante deverá apresentar a Declaração de Vistoria impressa em papel timbrado da empresa, em duas vias, em papel A4 e com seus dados e de seu representante, devidamente preenchidos.

22.6 A Licitante poderá optar pela não realização da vistoria, para tanto deverá apresentar, junto com sua proposta de preços, caso seja a vencedora da etapa de lances, a Declaração De Recusa De Vistoria, devidamente assinada por seus representantes legais.

22.7 A Licitante que optar pela não realização da vistoria estará se responsabilizando por todas as condições de prestação dos serviços, não podendo em qualquer momento da execução contratual alegar desconhecimento ou impossibilidade para a prestação dos serviços.

23 DA PROPRIEDADE INTELECTUAL

23.1 A CONTRATADA deverá entregar a ALMT toda e qualquer documentação gerada em função da prestação de serviços, objeto desta contratação.

23.2 A CONTRATADA cederá a ALMT, em caráter definitivo, o direito patrimonial dos resultados produzidos durante a vigência do Contrato, entendendo-se por resultados quaisquer estudos, relatórios, especificações, descrições técnicas, dados, esquemas, plantas, desenhos, diagramas, páginas na Intranet e Internet e documentação didática em papel ou em mídia eletrônica.

23.3 A CONTRATADA fica proibida de veicular e comercializar os produtos e informações geradas, relativas ao objeto da prestação dos serviços, salvo se houver a prévia autorização por escrito da ALMT.

24 SIGILO

24.1 A CONTRATADA deverá manter sigilo absoluto sobre quaisquer dados, informações, códigos-fonte, artefatos, contidos em quaisquer documentos e em quaisquer mídias de que venha a ter conhecimento durante a execução dos trabalhos, não podendo, sob qualquer pretexto divulgar, reproduzir ou utilizar, sob as penas da lei, independentemente da classificação de sigilo conferida a tais documentos.

24.2 A CONTRATADA não poderá divulgar quaisquer informações a que tenha acesso em virtude dos trabalhos a serem executados ou de que tenha tomado conhecimento em decorrência da execução do objeto, sem autorização, por escrito, da ALMT, sob pena de aplicação das sanções cabíveis, além do pagamento de indenização por perdas e danos.

25 DAS OBRIGAÇÕES DA CONTRATANTE

25.1 Na execução do objeto do contrato, obriga-se o CONTRATANTE a:

25.1.2 efetuar os pagamentos devidos à CONTRATADA, nas condições estabelecidas neste Termo de Referência;

25.1.3 exercer a fiscalização do contrato,

25.1.4 receber provisória e definitivamente o objeto do contrato nas formas definidas; e verificar se a CONTRATADA está realizando as obrigações estabelecidas neste Termo de Referência;

25.1.5 permitir ao pessoal técnico da CONTRATADA, desde que identificado e incluído na relação de técnicos autorizados, o acesso às unidades para a execução dos serviços, respeitadas as normas de segurança vigentes nas suas dependências;

25.1.6 notificar a CONTRATADA quanto a defeitos ou irregularidades verificados na execução dos serviços objeto deste Termo de Referência, bem como quanto a qualquer ocorrência relativa ao comportamento de seus técnicos, quando em atendimento, que venha a ser considerado prejudicial ou inconveniente para a ALMT;

25.1.7 informar à CONTRATADA as normas e procedimentos de acesso às instalações, e eventuais alterações;

25.1.8 acompanhar a execução do contrato, conferir os serviços executados e atestar os documentos fiscais pertinentes, quando comprovada a execução total, fiel e correta dos serviços. Sustar, recusar, mandar fazer ou desfazer qualquer procedimento que não esteja de acordo com os termos contratuais;

25.1.9 comunicar à CONTRATADA a necessidade de substituição de qualquer profissional que seja considerado inadequado para o exercício da função;

25.1.10 emitir, antes da execução de qualquer serviço, a competente O.S., definindo claramente os requisitos técnicos, administrativos e financeiros relativos ao serviço objeto deste Termo de Referência;

25.1.11 especificar e estabelecer normas, diretrizes e metodologias para a execução dos serviços, definindo as prioridades, regras, bem com os prazos e etapas para cumprimento das obrigações;

25.1.12 avaliar o relatório mensal das atividades executadas pela CONTRATADA;

25.1.13 indicar representante para acompanhar e fiscalizar a execução do contrato nas respectivas áreas de atuação.

25.1.14 disponibilizar os recursos físicos e tecnológicos (equipamentos, instrumentos, softwares etc.), para a execução dos serviços nas suas instalações.

26 DAS OBRIGAÇÕES DA CONTRATADA

26.1 Na execução do objeto do contrato, obriga-se a CONTRATADA a:

26.1.2 Executar fielmente os serviços objeto deste contrato, em conformidade com o Termo de Referência, parte integrante do mesmo;

26.1.3 Manter-se, durante toda execução do Contrato, em compatibilidade com as obrigações por ele assumidas, todas as condições de habilitação e qualificação exigidas na licitação (inciso XIII, Art. 55, da Lei Federal n. 8.666/93);

26.1.4 Responsabilizar-se por quaisquer danos pessoais e/ ou materiais, causados por técnicos (empregados) e acidentes causados por terceiros, bem como pelo pagamento de salários, encargos sociais e trabalhistas, tributos e demais despesas eventuais, decorrentes da prestação de serviços;

26.1.5 Responsabilizar-se pelas eventuais despesas para execução do serviço solicitado, qualquer que seja o valor, e cumprir todas as obrigações constantes do presente contrato;

26.1.6 Apresentar a Assembleia até o terceiro dia útil do mês subsequente, comprovante de recolhimento dos encargos previdenciários, resultantes da execução do Contrato e comprovante de recolhimento dos encargos trabalhistas, fiscais e comerciais;

26.1.7 Prestar o serviço obedecendo às disposições legais;

26.1.8 Atender prontamente quaisquer exigências do representante da Assembleia, para a solução de quaisquer dificuldades ou problemas técnicos ou administrativos, relativos ao objeto da contratação.

27 DAS CONDIÇÕES DE PAGAMENTO

27.1 O pagamento será efetuado mediante apresentação de Nota Fiscal/Fatura emitida pela CONTRATADA, acompanhada de documentos que comprovem a regularidade fiscal perante a fazenda pública federal, estadual e municipal, bem como certidão negativa de débitos trabalhistas, de regularidade do recolhimento de Fundo de

Garantia por Tempo de Serviço.

28 DO REAJUSTE

28.1 Os preços são fixos e irreajustáveis no prazo de 12 (doze) meses contados da assinatura do contrato.

28.2 Dentro do prazo de vigência do contrato e mediante solicitação da contratada, os preços contratados poderão sofrer reajuste após o interregno de 12 (doze) meses contados da data de assinatura do contrato, aplicando-se o IPCA – Índice Nacional de Preços ao Consumidor Amplo, ou outro índice oficial que vier a substituí-lo, exclusivamente para as obrigações iniciadas e concluídas após a ocorrência do prazo acima mencionado.

28.3 Nos reajustes subsequentes ao primeiro, o interregno mínimo de um ano será contato a partir dos efeitos financeiros do último reajuste.

28.4 No caso de atraso ou não divulgação do índice de reajustamento, o CONTRATANTE, pagará à CONTRATADA a importância calculada pela última variação conhecida, liquidando a diferença correspondente tão logo seja divulgado o índice definitivo.

28.5 Nas aferições finais, o índice utilizado para reajuste será, obrigatoriamente, o definitivo.

28.6 Caso o índice estabelecido para reajustamento venha a ser extinto ou de qualquer forma não possa mais ser utilizado, será adotado, em substituição, o que vier a ser determinado pela legislação então em vigor.

28.7 Na ausência de previsão legal quanto ao índice substituto, as partes elegerão novo índice oficial, para reajustamento do preço do valor remanescente, por meio de termo aditivo.

28.8 O reajuste será realizado por apostilamento.

28.9 O reajuste somente será concedido após análise pelo setor competente e mediante motivação e comprovação, por parte da CONTRATADA.

28.10 De forma a explanar acerca do índice escolhido, se faz necessário ressaltar que ante a ausência de normativa própria desta Assembleia Legislativa, que disponha sobre as contratações na área de tecnologia da informação, utilizamos para subsidiar as contratações de serviços e produtos a Instrução Normativa n.º 01/2019 do Governo Federal, que trata das contratações relacionadas a Tecnologia da Informação e que vincula os órgãos da administração pública federal.

28.11 A referida normativa dispõe sobre a necessidade de a utilização do ICTI – Índice de Custos da Tecnologia da Informação, para serviços relacionados a TI, ocorre que em pesquisas realizadas em órgãos públicos da administração federal, tais como TCU e STF (Contrato SEI/STF 0746706, SEI/STF 0489055 Contrato n.º 063/2017, Pregão Eletrônico TCU n.º 080/2019, Pregão Eletrônico n.º 23/2020), observamos que os referidos órgãos utilizam o IPCA – Índice Nacional de Preços ao Consumidor, pois é o que mais se aproxima do efetivo índice inflacionário.

29 DAS SANÇÕES ADMINISTRATIVAS

29.1 Comete infração administrativa nos termos da Lei nº 10.520, de 2002, a CONTRATADA que:

29.1.2 inexecutar total ou parcialmente qualquer das obrigações assumidas em decorrência da contratação;

29.1.3 ensejar o retardamento da execução do objeto;

29.1.4 falhar ou fraudar na execução do objeto;

29.1.5 comportar-se de modo inidôneo;

29.1.6 não mantiver a proposta; e

29.1.7 cometer fraude fiscal.

29.2 Pela inexecução total ou parcial do objeto deste contrato, a Administração pode aplicar à CONTRATADA as seguintes sanções:

29.2.2 Advertência por escrito, quando do não cumprimento de quaisquer das obrigações contratuais consideradas faltas leves, assim entendidas aquelas que não acarretam prejuízos significativos para o serviço contratado;

29.2.3 Multa de:

29.2.3.1 multa moratória de 0,33% (trinta e três centésimos por cento) por dia de atraso injustificado sobre o valor da parcela inadimplida, até o limite de 30 (trinta) dias;

29.2.3.2 multa compensatória de 10% (dez por cento) sobre o valor total contratado, no caso de inexecução total do objeto;

29.2.4 em caso de inexecução parcial, a multa compensatória, no mesmo percentual do subitem acima, será aplicada de forma proporcional à obrigação inadimplida;

29.2.5 suspensão de licitar e impedimento de contratar com o órgão, entidade ou unidade administrativa pela qual a Administração Pública opera e atua concretamente, pelo prazo de até dois anos;

29.2.6 sanção de impedimento de licitar e contratar com órgãos e entidades da União, com o consequente descredenciamento no SICAF pelo prazo de até cinco anos, quando a contratada possuir o cadastro junto ao SICAF.

29.2.7 Declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade, que será concedida sempre que a Contratada ressarcir a Contratante pelos prejuízos causados;

29.3 Também ficam sujeitas às penalidades do art. 87, III e IV da Lei nº 8.666, de 1993, as empresas ou profissionais que:

29.3.2 tenham sofrido condenação definitiva por praticar, por meio dolosos, fraude fiscal no recolhimento de quaisquer tributos;

29.3.3 tenham praticado atos ilícitos visando a frustrar os objetivos da licitação;

29.3.4 demonstrem não possuir idoneidade para contratar com a Administração em virtude de atos ilícitos praticados.

29.4 A aplicação de qualquer das penalidades previstas realizar-se-á em processo

administrativo que assegurará o contraditório e a ampla defesa à CONTRATADA, observando-se o procedimento previsto na Lei nº 8.666, de 1993, e subsidiariamente a Lei nº 9.784, de 1999.

29.5 A autoridade competente, na aplicação das sanções, levará em consideração a gravidade da conduta do infrator, o caráter educativo da pena, bem como o dano causado à Administração, observado o princípio da proporcionalidade.

29.6 As penalidades serão obrigatoriamente registradas no SICAF.

30 DA RESCISÃO CONTRATUAL

30.1 O contrato poderá ser rescindido pela Contratante em uma das hipóteses relacionadas no Art. 78, através de uma das formas previstas pelo Art. 79, ambos da Lei nº 8666/93, sem prejuízo das demais sanções cabíveis;

30.2 À Contratante, quando da rescisão, são assegurados os direitos descritos no Art. 80 da Lei nº 866/93, sem prejuízo das sanções pertinentes.

31 DA GARANTIA

31.1 A contratada deverá apresentar a garantia de execução contratual de 5% (cinco por cento), sobre o valor global da contratação, em uma das modalidades previstas no §1º do art. 56 da Lei nº 8.666/93, no momento da assinatura do contrato.

32 DA GARANTIA DE ENTREGA

32.1 A Contratada garante a entrega do(s) produto(s) e serviços no prazo descrito neste Termo de Referência, ficando sujeita às penalidades previstas na legislação vigente em caso de descumprimento.

33 GARANTIA DOS SERVIÇOS

33.1 Os produtos gerados pela CONTRATADA terão garantia durante todo o período de vigência do contrato, dentro do qual a CONTRATADA corrigirá os defeitos identificados sem custos adicionais a ALMT.

33.2 A emissão de aceite dos serviços pela ALMT não exime a CONTRATADA da responsabilidade pela correção de erros porventura identificados dentro do prazo de vigência do Contrato e após o seu encerramento, dentro do prazo de garantia fornecido pela CONTRATADA, sem ônus para a ALMT, desde que o erro ou falha, comprovadamente, não se dê em função de falhas da unidade solicitante dos serviços ou da STI.

34 DISPOSIÇOES GERAIS

34.1 O presente documento foi elaborado visando propiciar a maior competitividade possível entre os participantes, buscando dotar a Assembleia Legislativa do Estado de Mato Grosso de solução essencial à melhoria da segurança na infraestrutura que apoia seus projetos e programas.

34.2 Para comprovação das características do objeto constante deste TERMO DE REFERÊNCIA, a licitante deverá indicar o endereço eletrônico em que constem as especificações técnicas da solução ofertada.

34.3 O Pregoeiro responsável pelo certame reserva-se o direito de solicitar da

LICITANTE, em qualquer tempo, no curso da licitação, quaisquer esclarecimentos sobre documentos já entregues, fixando-lhe prazo para atendimento;

34.4 A falta de qualquer dos documentos exigidos no edital implicará inabilitação da LICITANTE, sendo vedada a concessão de prazo para complementação da documentação exigida para a habilitação, salvo motivo devidamente justificado e aceito pelo pregoeiro.

35 DISPOSIÇÕES FINAIS

35.1 Considerando que o Termo de Referência foi elaborado de forma conveniente e oportuna para atender a demanda da Assembleia Legislativa do Estado de Mato Grosso, validamos este Termo.

Cuiabá, 26 de agosto de 2021.

RESPONSÁVEL PELA ELABORAÇÃO:

Xxxxxxx Xxxxxxx Xxxxxxxx | Matricula 41.023 | CPF 000.000.000-00

Analisado e revisado o Termo de Referência n.º 010/2021/STI inerente e face aos processos e documentos vinculantes VALIDO os procedimentos legais para realização do Processo Licitatório na modalidade PREGÃO ELETRÔNICO ATRAVÉS DO SISTEMA DE REGISTRO DE PREÇO para fins de CONTRATAÇÃO DE EMPRESA ESPECIALIZADA NO FORNECIMENTO DE SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO INTELIGENTE DE DADOS EM REPOUSO E DADOS EM TRÂNSITO, ESTRUTURADOS E NÃO ESTRUTURADOS, CONTROLE DE ACESSO, VISIBILIDADE E RASTREABILIDADE DE UTILIZAÇÃO DE DADOS EM SERVIDORES DE ARQUIVOS, BANCO DE DADOS ONPREMISE E NA NUVEM, CUSTÓDIA DE CHAVES CRIPTOGRÁFICAS PARA AMBIENTES EM NUVEM( PÚBLICA, HIBRIDA OU PRIVADA) COMPOSTA POR SOFTWARE E SERVIÇOS DE GARANTIA E SUPORTE TÉCNICO, SERVIÇOS DE INSTALAÇÃO E CONFIGURAÇÃO DA SOLUÇÃO, SERVIÇOS DE TREINAMENTO, SERVIÇOS PARA INTEGRAÇÕES NECESSÁRIAS COM SOLUÇÕES DE TERCEIROS E SERVIÇOS ESPECIALIZADOS,

cujos atos procedimentais e contratação devem obediência às condições e termos previstos neste Termo de Referência, processo administrativo inerente e legislação vigente.

RESPONSÁVEL PELA VALIDAÇÃO:

Xxxxx Xxxx xx Xxxxxx Xxxxx | Matrícula 23365 CPF 000.000.000-00

Secretário de Tecnologia da Informação

ANEXO II

MODELO DE PROPOSTA DE PREÇOS

(PAPEL TIMBRADO DA EMPRESA)

Assembleia Legislativa do Estado de Mato Grosso

Licitação Nº / . Modalidade: PREGÃO ELETRÔNICO

Julgamento: MENOR PREÇO POR LOTE

Licitante: CNPJ E-mail: Tele-Fax ( ) Tel. Celular Endereço: Conta Corrente: Agência: Banco:

1. APRESENTAÇÃO: Apresentamos a Vossa Senhoria nossa proposta comercial, para atender à demanda da Assembleia Legislativa do Estado de Mato Grosso, conforme as condições e especificações técnicas do ANEXO I – TERMO DE REFERÊNCIA do edital.

2. PREÇOS: Seguir rigorosamente o Xxxxx X – Termo de Referência.

LOTE ÚNICO
ITEM	ESPECIFICAÇÃO	MÉTRICA	UNIDADE	QUANTIDADE	VALOR UNITÁRIO R$	VALOR TOTAL R$

VALOR TOTAL DO LOTE: R$

3. DECLARAÇÃO

3.1. Declaramos que, nos preços propostos, estão inclusas todas as despesas relativas à contratação, tais como salários, remunerações, encargos sociais, e trabalhistas, tributos, e contribuições, comissões, materiais, deslocamentos, diárias, recursos materiais, taxa de administração, juros, e quaisquer outros custos relacionados com a prestação dos serviços e compromissos assumidos na licitação.

3.2. Declaramos que temos pleno conhecimento das condições estabelecidas no Edital e seus anexos e que assumimos inteira e completa responsabilidade pela perfeita execução/fornecimento do objeto licitado.

3.3. Sob pena de desclassificação e sujeição as sanções contidas no edital e seus anexos, declaramos:

3.3.1. Que temos pleno conhecimento que o objeto licitado deverá ser executado de acordo com o cronograma contratado, previamente, elaborado pela Contratante, com início a partir da assinatura do CONTRATO e emissão da Nota de Xxxxxxx;

3.3.2. Que temos pleno conhecimento que o objeto licitado não poderá ter origem em contrabando, aquisições sem a devida nota fiscal de compra ou de qualquer atividade considerada ilícita pela legislação vigente;

3.3.3. Que assumimos inteira e completa responsabilidade pelas possíveis divergências entre as quantidades e qualidade constante na Proposta de Preços com as quantidades e qualidade constante no ANEXO I – TERMO DE REFERÊNCIA e que nos obrigamos a cumprir no mínimo as quantidades, condições e especificações constantes no Edital e seus anexos, sem ônus para Assembleia Legislativa do Estado de Mato Grosso, visto que, nos obrigamos a elaborar a proposta de preços considerando as quantidades, qualidade e especificações constantes no ANEXO I – TERMO DE REFERÊNCIA;

3.3.4. Que temos estrutura e condições de fornecer o objeto desta licitação, nos quantitativos e qualificativos constantes no ANEXO I – TERMO DE REFERENCIA, bem como de acordo com as requisições emitidas pela Assembleia Legislativa do Estado de Mato Grosso;

4. PRAZO DE EXECUÇÃO: Deverá dar-se conforme solicitado pela Assembleia Legislativa do Estado de Mato Grosso à época da autorização de fornecimento.

5. VALIDADE DA PROPOSTA: (não inferior a 90 (noventa) dias a contar da data marcada para sua apresentação)

Local e data,

Assinatura do Representante Legal Nome/Cargo/Empresa/C.N.P.J./MF RG E CPF/MF

ANEXO III

MINUTA DA ATA DE REGISTRO DE PREÇOS Nº 0XX/2021 PREGÃO ELETRÔNICO N° 0XX/2021

Pelo presente instrumento a ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, doravante denominado GERENCIADOR, neste ato representada pelo seu Presidente Deputado , RESOLVE registar os preços da empresa

, (qualificação completa), em consonância com o resultado do certamente e epígrafe, publicado no DOE/MT do dia / / , visando a prestação de serviço conforme quantidades estimadas e valores constantes no item 4 abaixo, atendendo as condições previstas no Edital do Pregão Eletrônico nº / e nesta Ata de Registro de Preços, sujeitando-se as partes às normas constantes da Lei Federal nº 10.520, de 17 de julho de 2002, Decreto Estadual 840 de 10 de fevereiro de 2017, Lei Complementar Federal n° 123, de 14 de dezembro de 2006; Lei Complementar n°147 de 07 de agosto de 2014 e, subsidiariamente pela Lei Federal nº 8.666, de 21 de junho de 1993 e suas alterações posteriores, demais legislações pertinentes, e em conformidade com as disposições a seguir:

1. DO OBJETO

1. REGISTRO DE PREÇOS PARA FUTURA E EVENTUAL CONTRATAÇÃO DE EMPRESA ESPECIALIZADA NO FORNECIMENTO DE SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO INTELIGENTE DE DADOS EM REPOUSO E DADOS EM TRÂNSITO, ESTRUTURADOS E NÃO ESTRUTURADOS, CONTROLE DE ACESSO, VISIBILIDADE E RASTREABILIDADE DE UTILIZAÇÃO DE DADOS EM SERVIDORES DE ARQUIVOS, BANCO DE DADOS ONPREMISE E NA NUVEM, CUSTÓDIA DE CHAVES CRIPTOGRÁFICAS PARA AMBIENTES EM NUVEM (PÚBLICA, HIBRIDA OU PRIVADA) COMPOSTA POR SOFTWARE E SERVIÇOS DE GARANTIA E SUPORTE TÉCNICO, SERVIÇOS DE INSTALAÇÃO E CONFIGURAÇÃO DA SOLUÇÃO, SERVIÇOS DE TREINAMENTO, SERVIÇOS PARA INTEGRAÇÕES NECESSÁRIAS COM SOLUÇÕES DE TERCEIROS E SERVIÇOS ESPECIALIZADOS, PARA ATENDER ÀS DEMANDAS DA ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO.

2 - DA VIGÊNCIA

2.1. O prazo de validade da Ata de Registro de Preços será de 12 (doze) meses, contados a partir da data de sua assinatura.

3 - DA GERÊNCIA DA PRESENTE ATA DE REGISTRO DE PREÇOS

3.1 O gerenciamento deste instrumento caberá à Assembleia Legislativa do Estado de Mato Grosso, através da Superintendência de Contratos, Convênios e Documentos Correlatos.

4 - DA ESPECIFICAÇÃO, QUANTIDADE E PREÇO

4.1 Os Itens, as especificações, unidades, as quantidades, e os preços unitários estão registrados nessa Ata de Registro de Preços, encontram-se indicados na tabela abaixo:

LOTE ÚNICO
ITEM	ESPECIFICAÇÃO	MÉTRICA	UNIDADE	QUANTIDADE	VALOR UNITÁRIO R$	VALOR TOTAL R$

VALOR TOTAL DO LOTE: R$

4.2. Nos preços supracitados estão incluídas todas as despesas relativas ao objeto contratado (tributos, seguros, encargos sociais, etc).

5 - DAS OBRIGAÇÕES DA DETENTORA DA ATA DE REGISTRO DE PREÇOS

5.1. Comparecer quando convocado no prazo máximo de 02 (dois) dias úteis, contados do recebimento da convocação formal, para assinatura do instrumento contratual;

5.2. Cumprir fielmente o objeto do edital, mediante o fornecimento/prestação em conformidade com as especificações constantes no Termo de Referência, de acordo com as condições propostas e consignadas no Contrato;

5.3. A CONTRATADA deverá manter as mesmas condições de habilitação e qualificação durante toda a vigência do Contrato.

6 - DAS OBRIGAÇÕES DA ASSEMBLEIA LEGISLATIVA

6.1. Proporcionar todas as facilidades indispensáveis à boa execução das obrigações estabelecidas nas condições de fornecimento, inclusive permitindo o acesso de empregados, prepostos ou representantes do licitante vencedor às dependências da Assembleia Legislativa do Estado de Mato Grosso.

6.2. Emitir ordem de fornecimento/Requisição estabelecendo dia e hora de cada evento, bem como outras informações que considerar pertinentes para o bom e fiel cumprimento deste edital e das condições de fornecimento.

6.3. Efetuar o pagamento a CONTRATADA nas condições estabelecidas no edital e seus anexos.

6.4. Receber o objeto adjudicado, nos termos, prazos, quantidade, qualidade e condições estabelecidas no edital e seus anexos.

6.5. Prestar as informações e os esclarecimentos atinentes ao Objeto, que venham a ser solicitados pela CONTRATADA.

6.6. Fiscalizar o cumprimento das obrigações da CONTRATADA.

6.7. O objeto licitado será entregue na sede da CONTRATANTE, no endereço estabelecido no edital e seus anexos.

6.8. Nenhum pagamento será efetuado à empresa adjudicatária enquanto pendente de liquidação qualquer obrigação. Esse fato não será gerador de direito a reajustamento de preços ou a atualização monetária.

7 - DO CONTRATO

7.1. O contrato advindo do presente Registro de Preços, somente poderá ser celebrado mediante autorização da MESA DIRETORA DA ASSEMBLEIA LEGISLATIVA.

7.2. As cláusulas e condições contratuais, inclusive as sanções por descumprimento das obrigações serão aquelas previstas no Edital e seus anexos, em especial aquelas previstas no contrato (minuta - Anexo IV do Edital da Licitação).

7.3. O prazo da contratação será estabelecido de acordo com o art. 57 da Lei 8.666/93, prorrogável nas hipóteses da Lei de Licitações nº. 8.666/1993 e alterações.

7.4. Poderá, nas hipóteses do art. 65 da Lei n. 8.666/1993, ser alterado o contrato.

7.4.1. Poderá a contratada, durante a vigência do contrato, solicitar a revisão ou repactuação dos preços para manter a equação econômico-financeira obtida na licitação, mediante a comprovação dos fatos previstos no art. 65, inciso II, alínea 'd', da Lei n. 8.666/1993, inclusive com demonstração em planilhas de custos.

7.4.2. Conforme o art. 3º da Lei n. 10.192/2001, poderá ser concedido o reajuste do preço, a requerimento da contratada e depois de transcorrido um ano da data limite para apresentação da proposta atualizada no certame licitatório, de acordo com o índice de correção monetária geral ou setorial indicado no Termo de Referência e/ou Contrato.

7.4.3. Deferido o pedido, o reequilíbrio econômico-financeiro será registrado por aditamento ao contrato, e o reajuste mediante apostilamento.

7.6. Constarão do contrato todas as obrigações, direitos e deveres a que se vinculam as partes signatárias da presente Ata de Registro de Preços.

8 - DO CANCELAMENTO DA ATA DE REGISTRO DE PREÇOS

8.1. O registro de preços será cancelado quando o fornecedor:

8.1.1. Descumprir as condições da ata de registro de preços;

8.1.2. Não retirar a nota de empenho ou instrumento equivalente no prazo estabelecido pela Administração, sem justificativa aceitável;

8.1.3. Não aceitar reduzir o seu preço registrado, na hipótese deste se tornar superior àqueles praticados no mercado; ou

8.1.4. Sofrer sanção prevista nos incisos III ou IV do caput do art. 87 da Lei nº 8.666, de 1993, ou no art. 7º da Lei nº 10.520, de 2002.

8.2. O cancelamento de registros nas hipóteses previstas nos incisos I, II e IV do caput do art. 73 do Decreto Estadual nº 840/2007 será formalizado por despacho do órgão gerenciador, assegurado o contraditório e a ampla defesa.

8.3. O cancelamento do registro de preços poderá ocorrer por fato superveniente, decorrente de caso fortuito ou força maior, que prejudique o cumprimento da ata, devidamente comprovados e justificados:

8.3.1. Por razão de interesse público; ou

8.3.2. A pedido do fornecedor.

9. DAS SANÇÕES ADMINISTRATIVAS

9.1. O descumprimento injustificado das obrigações assumidas sujeita a CONTRATADA às multas, consoante os art. 86, 87 e 88 da Lei nº. 8.666/93, incidentes sobre o valor da Nota de Xxxxxxx.

9.2. O descumprimento das obrigações e demais condições do contrato, garantida o direito ao contraditório e a prévia e ampla defesa da CONTRATADA, aplicar as seguintes sanções, sem exclusão das demais penalidades previstas no artigo 87 da Lei n.º 8.666/83:

9.2.1. Advertência;

9.2.2. Multa, na forma prevista;

9.2.3. Suspensão temporária do direito de participar em licitações e impedimento de contratar com a administração pública, por prazo não superior a dois anos;

9.2.4. Declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação, perante a própria autoridade que aplicou a penalidade, de acordo com o inciso IV do artigo 87 da Lei nº. 8.666/93, c/c artigo 7º da Lei nº. 10.520/2002.

9.3. Nas hipóteses de apresentação de documentação inverossímil, cometimento de fraude ou comportamento de modo inidôneo, a CONTRATADA poderá sofrer, além dos procedimentos cabíveis de atribuição desta instituição e do previsto no art. 7º da Lei 10.520/02, quaisquer das sanções adiante previstas, que poderão ser aplicadas cumulativamente:

9.3.1. Desclassificação ou inabilitação, caso o procedimento se encontre em fase de julgamento;

9.3.2. Cancelamento do contrato ou da ata de registro de preços, se esta já estiver assinada, procedendo-se a paralisação do fornecimento, conforme o caso.

9.4. As multas serão descontadas dos créditos da empresa detentora da ata ou cobradas administrativa ou judicialmente;

9.5. As penalidades previstas neste item têm caráter de sanção administrativa, consequentemente, a sua aplicação não exime a empresa detentora da ata, da reparação das eventuais perdas e danos que seu ato venha acarretar a Assembleia Legislativa do Estado de Mato Grosso;

9.6. As penalidades são independentes e a aplicação de uma não exclui a das demais, quando cabíveis, e as multas previstas nesta seção não eximem a CONTRATADA da reparação dos eventuais danos, perdas ou prejuízos que seu ato punível venha causar ao órgão.

9.7. A aplicação de qualquer das penalidades previstas realizar-se-á em processo administrativo que assegurará o contraditório e a ampla defesa, observando-se o procedimento previsto na Lei nº 8.666, de 1993, e subsidiariamente a Lei Estadual nº 7.692, de 2002.

10 - DISPOSIÇÕES FINAIS

10.1. As partes ficam, ainda, adstritas às seguintes disposições:

10.1.1. Todas as alterações que se fizerem necessárias serão registradas por intermédio de lavratura de termo aditivo ou apostilamento à presente Ata de Registro de Preço;

10.1.2. A Detentora da Ata de Registro de Preço obriga-se a se manter, durante toda a duração da Ata, em compatibilidade com as obrigações por ela assumidas, todas as condições de habilitação e qualificação exigidas na licitação e a cumprir fielmente as cláusulas ora avençadas, bem como as normas previstas na Lei 8.666/93 e legislação complementar;

10.1.3. Vinculam-se a esta Ata, para fins de análise técnica, jurídica e decisão superior o Edital de Pregão Presencial, seus anexos e a proposta da contratada;

10.1.4. É vedado caucionar ou utilizar a presente Ata para qualquer operação financeira, sem prévia e expressa autorização da Assembleia Legislativa.

10.2. Na contagem dos prazos estabelecidos nesta Ata de Registro de Preços, excluir- se-á o dia do início e incluir-se-á o do vencimento, sendo que, só se iniciam e vencem os prazos em dias de expediente normal da Assembleia Legislativa do Estado de Mato Grosso.

10.3. A homologação do resultado desta licitação, bem como a assinatura desta Ata de Registro de Preços, não implicará, automaticamente, direito ao fornecimento do objeto licitado, o qual ficará adstrito a ordem de fornecimento.

11 - DO FORO

11.1. Fica eleito o foro da Comarca de Cuiabá, Estado de Mato Grosso, para dirimir todas as

questões oriundas do presente instrumento, sendo este o competente para a propositura qualquer medida judicial decorrente deste instrumento, com a exclusão de qualquer outro, por mais privilegiado que seja.

E, por estarem justos e acordados, assinam a presente Ata de Registro de Preços em 03 (três) vias de igual teor e forma, juntamente com as testemunhas abaixo, de tudo cientes, para que produzam seus efeitos legais e jurídicos.

Cuiabá-MT, de de 2021.

ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO CNPJ N° 03.929.049/0001-11

XXX XXXXX PRESIDENTE DA ALMT

XXXXXXX XXXXXXX 1°SECRETÁRIO DA ALMT

(EMPRESA)

TESTEMUNHAS: NOME:

CPF NOME: CPF:

(CNPJ)

(NOME DO REPRESENTANTE LEGAL)

ANEXO IV

MINUTA DO CONTRATO Nº /2021/SCCC/ALMT

CONTRATO QUE ENTRE SI CELEBRAM A ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, ATRAVÉS DA MESA DIRETORA E A EMPRESA .

A ASSEMBLEIA LEGISLATIVA DO ESTADO DE MATO GROSSO, doravante denominada CONTRATANTE, com sede no Centro Político Administrativo - Cuiabá-MT, inscrita no CNPJ sob nº 03.929.049/0001-11, na Xxxxxxx Xxxxx Xxxxxxx Xxxxx, Xxxx 00, Xxxxx X, Xxxxxx Político Administrativo - CPA, Edifício Governador Xxxxx Xxxxxxx xx Xxxxxxxx, Cuiabá – MT., XXX 00000- 901, Cuiabá – MT neste ato representado pelo Senhor Presidente Deputado Xxx Xxxxx e o Primeiro Secretário, Ordenador de Despesas – Deputado Xxxxxxx Xxxxxxx, e de outro lado à Empresa -

, no CNPJ n° , com sede na , Bairro , CEP: , Cuiabá – MT., neste ato representada pelo Senhor

, RG nº SSP/MT, expedida pela SSP/MT e CPF nº. , doravante denominada CONTRATADA, considerando o que consta no Processo Licitatório Pregão Eletrônico Registro de Preços nº /2021/ALMT (SGED. nº. ) e sujeitando- se, ainda, às normas da Lei nº 8.666, de 21 de junho de 1993 e suas alterações, e a Lei Complementar Federal nº 101, de 04 de maio de 2.000, demais normas que regem a espécie, RESOLVEM celebrar o presente contrato, nos seguintes termos e condições:

CLÁUSULA PRIMEIRA – DO OBJETO

1.1. O presente contrato tem por objeto a contratação de empresa especializada no fornecimento de solução de segurança da informação para proteção inteligente de dados em repouso e dados em trânsito, estruturados e não estruturados, controle de acesso, visibilidade e rastreabilidade de utilização de dados em servidores de arquivos, banco de dados on premise e na nuvem, custódia de chaves criptográficas para ambientes em nuvem (pública, hibrida ou privada) composta por software e serviços de garantia e suporte técnico, serviços de instalação e configuração da solução, serviços de treinamento, serviços para integrações necessárias com soluções de terceiros e serviços especializados, para atender as demandas da Assembleia Legislativa do Estado de Mato Grosso,

conforme especificações do Termo de Referência nº 010/2021/STI, constante no Processo Licitatório Pregão Eletrônico Registro de Preços nº. /2021/ALMT – SGED nº. .

CLÁUSULA SEGUNDA – DA DESCRIÇÃO DA SOLUÇÃO, ESPECIFICAÇÕES TÉCNICAS, QUANTIDADES E PREÇOS PRATICADOS

2.1. A descrição das soluções, especificações técnicas, quantidade e preços estão descritos na planilha abaixo:

LOTE ÚNICO
Item	Descrição da Solução	Métrica	Unid	Quant	Valor Unitário (R$)	Valor Total Anual (R$)
1	Console de Gerenciamento em Alta Disponibilidade.	Hardware	Unidade	2
2	Suporte para Console de Gerenciamento – 12 meses	Serviço	Unidade	12
3	Agentes de Proteção de dados estruturados multiplataforma	Software	Unidade	3
4	Suporte para Agentes de Proteção de dados Estruturados multiplataforma– 12 meses	Serviço	Unidade	12
5	Solução para transferência Segura de Base de Dados	Software	Unidade	2
6	Suporte para Solução para transferência Segura de Base de Dados– 12 Meses	Serviço	Unidade	12
7	Agentes de Proteção de Dados não estruturados multiplataforma	Software	Unidade	10
8	Suporte para agentes de Proteção de Dados não estruturados multiplataforma	Serviço	Unidade	10
9	Agentes de Proteção de Dados para Aplicação multiplataforma	Software	Unidade	5
10	Suporte para Agentes de Proteção de Dados para Aplicação multiplataforma– 12 meses	Serviço	Unidade	5
11	Agentes para proteção e custodia de chaves multicloud– Termo de Licenciamento por 12 meses	Software	Unidade	2
12	Agentes para Gestão de Chaves Local	Software	Unidade	10

13	Suporte para Agentes para Gestão de Chaves Local – 12 meses	Serviço	Unidade	12
14	Agentes para Descoberta e Classificação de Dados – Termo de Licenciamento por 12 meses – 50TB	Software	Unidade	1
15	Serviços de Implementação de Console de Gerenciamento	Serviço	Unidade	2
16	Serviços sob demanda para Implementação de Agentes	Serviço	UST	3000
17	Serviços de Treinamento	Serviço	Unidade	10
18	Consultoria para Avaliação periódica ( HealthCheck )	Serviço	Unidade	6
19	Consultoria sob demanda para emissão de relatórios de conformidade com a LGPD	Serviço	Unidade	6
VALOR TOTAL

2.3. O valor global do presente contrato é de R$ ( ).

CLÁUSULA TERCEIRA – DOS RECURSOS ORÇAMENTÁRIOS

3.1. As despesas decorrentes do presente procedimento licitatório correrão pela dotação orçamentária

– Exercício de 2021 da Assembleia Legislativa do Estado de Mato Grosso, a seguir:

	Número	Histórico
Reduzida
Projeto/Atividade
Elemento de Despesa
Fonte de Recurso

CLÁUSULA QUARTA – DOS PRAZOS DE VIGÊNCIA E EXECUÇÃO

4.1. O prazo de vigência do contrato será de 12 (doze) meses.

4.1.2. Os itens 2, 4, 6, 8, 10, 13, 15, 16, 17, 18 e 19, tratam-se de prestação de serviço, e portanto, pode ser prorrogável se conveniente para a CONTRATANTE, conforme preceitua o art. 57, inciso II da lei nº 8.666/93. Trata-se de serviço continuado e a sua interrupção poderia comprometer a execução das atividades finalísticas da CONTRATANTE.

4.1.3. Os itens 1, 3, 5, 7, 9, 11, 12 e 14 tratam-se de equipamento e licenças, e portanto, não são prorrogáveis.

4.2. Caso as partes não se interessem pela prorrogação deste contrato, quanto aos itens descritos no item 4.1.2, deverão manifestar sua vontade, no mínimo, 90 (noventa) dias antes do término da vigência contratual.

4.3. Quando consultada, a manifestação positiva da CONTRATADA quanto ao interesse na prorrogação da vigência do contrato, nos termos do art. 422 do Código Civil, gera legítima expectativa para a CONTRATANTE quanto à assinatura do termo aditivo necessário à formalização da renovação da vigência.

4.4. Em atenção ao item anterior, exceto diante de fato superveniente e devidamente justificável, a recusa da CONTRATADA em assinar o termo aditivo de prorrogação de vigência manifestada após o prazo de 90 (noventa) dias antes do encerramento da vigência do contrato poderá ensejar:

4.4.1. A aplicação de multa de 5% (cinco por cento) a 10% (dez por cento) sobre o valor global do contrato; II - conforme o interesse da Administração, a rescisão unilateral do contrato, de modo a, diante da impossibilidade prática de realização de novo procedimento licitatório, viabilizar a contratação do objeto remanescente do contrato nos termos do art. 24, XI, da Lei n° 8.666/1993.

4.4.2. Toda prorrogação de prazo deverá ser justificada por escrito e previamente autorizada pela autoridade competente.

CLÁUSULA QUINTA – DO LOCAL DA EXECUÇÃO DOS SERVIÇOS E DOS CRITÉRIOS DE ACEITAÇÃO DOS PRODUTOS E SERVIÇOS

5.1. O objeto deste Contrato será entregue na Secretaria de Tecnologia da Informação – Edifício Xxxxx Xxxxxxx xx Xxxxxxxx, Xxxx Xxxxxx, Xxxxxxx Xxxxx Xxxxxxx Xxxxx, Xxxx 00, Xxxxx X, XXX, XXX 00000-000 – Cuiabá, Mato Grosso, Brasil, das 08h00min às 12h00min e das 14h00min às 18h00min, de segunda à sexta-feira, com “pré-agendamento” pelo telefone (00) 0000-0000.

5.2. Nos termos dos artigos 73 a 76 da Lei 8.666/1993, o objeto do presente TERMO DE REFERÊNCIA será recebido:

5.2.1. Provisoriamente, pela Secretaria de Tecnologia da Informação, no ato da entrega, para posterior verificação da conformidade dos produtos e/ou serviços com as especificações;

5.2.2. Se for constatada desconformidade do(s) produtos e serviços apresentado(s) em relação às especificações, a CONTRATADA deverá efetuar a troca ou correção, no prazo estabelecido neste Contrato, a contar do recebimento da solicitação.

5.2.3. Neste caso, o recebimento do(s) produto(s) e/ou serviços escoimado(s) dos vícios que deram causa a sua troca será considerado recebimento provisório, ensejando nova contagem de prazo para o recebimento definitivo.

5.2.4. Definitivamente, no prazo de 30 (trinta) dias, contados do recebimento provisório, após criteriosa inspeção e verificação e análise por Comissão de Recebimento, a ser designada, de que os

bens ou serviços a serem adquiridos encontram-se em perfeitas condições de utilização, além de atenderem às especificações do objeto contratado.

5.3. O aceite/aprovação do(s) produto(s) ou serviço(s) pela CONTRATANTE não exclui a responsabilidade civil da CONTRATADA por vícios de quantidade ou qualidade do(s) produto(s) ou disparidades com as especificações estabelecidas, verificadas, posteriormente, garantindo-se a CONTRATANTE as faculdades previstas no art. 18 da Lei n.º 8.078/90.

5.4. A inspeção pode gerar a recusa de artefatos por motivo de vícios de qualidade ou por não observância dos padrões adotados pela STI.

CLÁUSULA SEXTA – DOS REQUISITOS FUNCIONAIS DA SOLUÇÃO

6.1. CONSOLE DE GERENCIAMENTO – ITEM 01:

6.1.1. A solução deverá prover um console de gerenciamento composta por um conjunto integrado de produtos baseados em uma infraestrutura comum e extensível, com gerenciamento centralizado de políticas e de chaves, reduzindo o esforço de administração e o custo total de propriedade.

6.1.2. O Console de Gerenciamento deve oferecer recursos para proteger e controlar o acesso a dados estruturados e não estruturados hospedados em ambientes físicos e virtuais, ON PREMISES e na NUVEM.

6.1.3. A solução deve prover um console único que permita o gerenciamento centralizado de todos os agentes de criptografia, suas chaves de criptografia, políticas de configuração, publicação e controle de acesso dos dados a serem protegidos.

6.1.4. O console deve possuir certificação FIPS 140-2, Common Criteria, ou outra equivalente, para garantir total segurança das chaves de criptografia.

6.1.5. O console de gerenciamento centralizado deve suportar agentes para as funcionalidades que seguem:

6.1.5.1. Criptografia transparente – para criptografar, controlar o acesso ao dado e oferecer registros de auditoria de acesso aos dados sem impactar nas aplicações, base de dados ou infraestrutura onde quer que os servidores estejam instalados;

6.1.5.2. Integração com SIEM–suportar integração com os sistemas de gerenciamento de logs do mercado, como: Splunk, qRadar, Arcsight, McAfee, LogRhythm e etc;

6.1.5.3. Segurança de container - oferecer criptografia de dados, controle de acesso e registro de acesso ao dado;

6.1.5.4. Gerenciamento de chaves em nuvem múltipla – permitir custódia e controle de dados em ambiente de software como serviço (SaaS), relatório de acesso e eficiência no gerenciamento do ciclo de vida da chave em nuvem com o conceito Traga sua Própria Chave (BYOK);

6.1.5.5. Toquenização e mascaramento de dados - reduzir os custos e o esforço necessários para

cumprir com as políticas de segurança e normas regulatórias como o LGPD, dentre outras;

6.1.5.6. Criptografia para aplicações – simplificar o processo de adição de criptografia em aplicações, por meio de Ais baseadas em padrões que potencializem operações criptográficas e de gerenciamento de chaves de alto desempenho.

6.1.6. O console deve ser capaz de ser configurada em alta disponibilidade (HA) com um servidor primário e outro secundário. A configuração de alta disponibilidade deve permitir a hospedagem dos servidores primário e secundário em datacenters distintos e conectados.

6.1.7. Apoiar a incorporação de vários consoles adicionais para fins de configuração de esquemas de tolerância a falhas multinível.

6.1.8. Os agentes instalados nos servidores devem operar de forma autônoma não causando impacto em caso de perda de comunicação com o console.

6.1.9. Os agentes devem fazer a rotação/mudança de chaves “a quente”, ou seja, sem indisponibilidade nos servidores de dados.

6.1.10. Cada console deve ter a capacidade de suportar o crescimento.

6.1.11. Detalhes da chave de criptografia não devem ser divulgados para usuários do sistema para que o algoritmo de criptografia esteja protegido dos usuários da plataforma. Estes devem ser armazenados de forma segura em um dispositivo virtual dedicado aos serviços de segurança dentro do console.

6.1.12. É desejável que todos os elementos da solução sejam do mesmo fabricante, porém serão aceitas soluções compostas por mais de um fabricante desde que estes fabricantes comprovem interoperabilidade e suporte a solução ofertada.

6.1.13. O console deve possuir capacidade de gerenciar chaves criptográficas padrão KMIP.

6.1.14. Deve ser compatível com API PKCS # 11 e Microsoft Key Extensible Management.

6.1.15. Deve ser capaz de oferecer suporte a certificados digitais (X. 509) PKCS # 7, PKCS # 8 e PKCS # 12, chaves de criptografia simétrica (algoritmos3DES, AES128, AES256, ARIA128 e ARIA256) e assimétrica (algoritmos RSA1024, RSA2048, RSA4096).

6.1.16. Deve ser escalável para oferecer suporte a gerenciamento de agente de vários serviços em uma estrutura de Multitenant e com suporte a configuração de segurança de vários domínios. Para isso, deve possibilitar configurar diferentes chaves criptográficas de acordo com cada área de operação, se necessário.

6.1.17. Quando aplicada a separação de funções, o console deve permitir que o usuário do sistema crie chaves de criptografia, outro usuário pode aplicá-las e outro, que não seja o anterior, consiga monitorar o mesmo durante a aplicação.

6.1.18. O console deve possibilitar gerenciamento via interface Web, possibilitar comandos (CLI) e API (SOAP, REST).

6.1.19. Deve requerer autenticação de usuário e senha e, opcionalmente, dois fatores RSA.

6.1.20. Deve ser capaz de configurar cópias de backup de suas configurações automaticamente ou manualmente.

6.1.21. Requerimentos complementares:

6.1.21.1. Suportar usuários múltiplos;

6.1.21.2. Escalabilidade comprovada para mais de 10.000 agentes;

6.1.21.3. Cluster para alta disponibilidade (HA);

6.1.21.4. Toolkit e interface de programação;

6.1.21.5. Integração infraestrutura de autenticação existente, com fácil configuração;

6.1.21.6. Suporte para API RESTfull;

6.1.21.7. Autenticação multi-fator;

6.1.21.8. Opções de instalação:

6.1.21.8.1. Sistema virtual com certificação FIPS 140-2 Nível, ou certificação compatível;

6.1.21.8.2. O sistema virtual deve ser compatível com VMware ou Hyper-V

6.2. AGENTES DE PROTEÇÃO DE DADOS ESTRUTURADOS MULTIPLATAFORMA – ITEM 03:

6.2.1. Este agente deve fornecer criptografia de banco de dados (dados estruturados) para dados em repouso com gerenciamento centralizado de chaves, controle de acesso de usuários, incluindo usuários privilegiados, e registro detalhado de auditoria de acesso visando atender aos requisitos de conformidade e práticas recomendadas para proteger os dados, onde quer que estejam. O agente deverá residir no sistema operacional ou na camada de dispositivo, e a criptografia e a descriptografia devem ser transparentes para todos os aplicativos executados acima dela.

6.2.2. O processo de criptografia deve ser executado por agentes que serão instalados nos servidores de banco de dados.

6.2.3. Esses agentes devem oferecer suporte a sistemas operacionais Microsoft, e/ou Linux.

6.2.4. Eles devem ser compatíveis com bancos de dados estruturados e não estruturados, incluindo MS-SQL Server, MySQL.

6.2.5. Deve ser compatível com servidores físicos e versões virtualizadas.

6.2.6. Sua implementação não deve exigir qualquer alteração no banco de dados ou na aplicação.

6.2.7. Estes devem usar os recursos de aceleração disponíveis, como o AES-NI. A implementação destes não deve gerar uma carga incremental, típica em servidores, de mais de 5%.

6.2.8. Além de criptografar o banco de dados, os agentes devem ser capazes de criptografar arquivo,

volume ou diretório desses servidores de forma que eles possam proteger informações estruturadas e não estruturadas (por exemplo: imagens, vídeos, arquivos voz, syslog, etc.).

6.2.9. Os agentes devem registrar e rastrear o acesso dos usuários de sistema aos arquivos e ser capaz de bloquear ou restringir este acesso.

6.2.10. As políticas de controle de acesso devem poder ser aplicadas mesmo aos usuários privilegiados do sistema e estes não devem possuir autoridade para desfazer a política de acesso na tentativa de elevar novamente seu privilégio.

6.2.11. Essas diretivas devem permitir e serem baseadas em usuário, processo, tipo de arquivo e agendamento.

6.2.12. As políticas devem poder ser aplicadas aos usuários locais, ou igualmente integradas no AD ou no LDAP.

6.2.13. Os agentes devem ter a capacidade de armazenar chaves de criptografia em memória para que eles não exijam conectividade com o console de gerenciamento, para poder aplicar processos de criptografia e descriptografia.

6.2.14. Os logs de atividade do usuário devem poder de ser enviados para uma solução de SIEM através de um servidor de syslog ou no formato CEF, em tempo real e nativamente.

6.2.15. A solução deve suportar ambiente em nuvem, tais como AWS, Azure, pelo menos.

6.2.16. A solução deve ter a capacidade de integrar os serviços de gerenciamento de chaves fornecendo serviços de gerenciamento de chaves no local ou na nuvem, para aplicações como Xxxxxxxxxx.xxx.

6.2.17. Registrar todas as tentativas de acesso permitido, negado e restrito de usuários, aplicativos e processos.

6.2.18. Possuir políticas de acesso baseadas em função para controlar quem, o que, onde, quando e como os dados podem ser acessados.

6.2.19. Permitir que usuários privilegiados executem seu trabalho sem acesso a dados em texto não criptografado.

6.2.20. Requerimentos complementares:

6.2.20.1. Compatibilidade com os sistemas operacionais:

• Windows Server: 2008, 2012 e 2016.

• Windows: 7; 8,1 e 10.

• Linux: RedHat 6.7-6.10; CentOS 6.7-6.10, Red Hat 7.0-7.6, Ubuntu e Debian.

6.2.20.2. Permitir criptografia para múltiplos fabricantes de banco de dados, tais como:

• MySQL (Windows, Linux);

• MS SQL (Windows).

6.3. SOLUÇÃO PARA TRANSFERÊNCIA SEGURA DE BASE DE DADOS – ITEM 05:

6.3.1. A Este agente deve permitir o mascaramento dos dados sensíveis para permitir o compartilhamento seguro com terceiros, ambientes de teste, ambientes de desenvolvimento e outros casos de uso aplicáveis.

6.3.2. O funcionamento deve ser baseado em tabela e/ou coluna. Informa-se o que deverá ser mascarado no novo banco de dados de destino. Com isso, dados não identificados podem ser compartilhados.

6.3.3. A solução de ser customizável e de alta performance.

6.3.4. A solução deve suportar, pelo menos, as operações de criptografia / toquenização e descriptografia / detoquenização de tabelas e / ou colunas.

6.3.5. A solução deve ser transparente para a aplicação ou banco de dados com acesso via conexão ODBC. Ou seja, não deve requerer alterações ou instalações adicionais no servidor de banco de dados.

6.3.6. A solução deve suportar, pelo menos, arquivo CSV, Microsoft SQL Server, MySQL.

6.3.7. A solução deve permitir replicação de arquivo para arquivo, banco de dados para banco de dados, arquivo para banco de dados e banco de dados para arquivo.

6.3.8. Pelo menos os seguintes modelos devem ser suportados: Standard AES Encryption, Batch random Tokenization e Batch FPE FF3/FF1.

6.4. AGENTES DE PROTEÇÃO DE DADOS NÃO ESTRUTURADOS MULTIPLATAFORMA – ITEM 07:

6.4.1. Este agente deve fornecer criptografia de servidor de arquivo (dado não estruturado) para dados em repouso com gerenciamento centralizado de chaves, controle de acesso de usuários, incluindo usuários privilegiados, e registro detalhado de auditoria de acesso visando atender aos requisitos de conformidade e práticas recomendadas para proteger os dados, onde quer que estejam. O agente deverá residir no sistema operacional ou na camada de dispositivo, e a criptografia e a descriptografia devem ser transparentes para todos os aplicativos executados acima dela.

6.4.2. O processo de criptografia deve ser executado por agentes que deverão ser instalados nos servidores de arquivos.

6.4.3. Os agentes devem oferecer suporte a sistemas operacionais Microsoft e/ou Linux.

6.4.4. Deve ser compatível com servidores físicos e versões virtualizadas.

6.4.5. Sua implementação não deve exigir qualquer alteração no servidor de arquivo ou processo para manuseio do dado pelo usuário final.

6.4.6. Deve ser capaz de criptografar arquivo, volume ou diretório desses servidores de forma que eles possam proteger informações não estruturadas (por exemplo: imagens, vídeos, arquivos voz,

syslog, etc.).

6.4.7. Os agentes devem registrar e rastrear o acesso dos usuários de sistema aos arquivos e ser capaz de bloquear ou restringir este acesso.

6.4.8. As políticas de controle de acesso devem poder ser aplicadas mesmo aos usuários privilegiados do sistema e estes não devem possuir autoridade para desfazer a política de acesso na tentativa de elevar novamente seu privilégio.

6.4.9. Essas diretivas devem permitir serem baseadas em usuário, processo, tipo de arquivo e agendamento.

6.4.10. As políticas devem ser aplicadas aos usuários locais, ou igualmente integradas no AD ou no LDAP.

6.4.11. Os agentes devem ter a capacidade de armazenar chaves de criptografia em memória para que eles não exijam conectividade com o console de gerenciamento para poder aplicar processos de criptografia e descriptografia.

6.4.12. Os logs de atividade do usuário devem ter a capacidade de ser enviado para uma solução de SIEM através de um servidor de syslog ou no formato CEF, em tempo real e nativamente.

6.4.13. A solução deve suportar ambiente em nuvem, tais como AWS, Azure, pelo menos.

6.4.14. Registrar todas as tentativas de acesso permitido, negado e restrito de usuários, aplicativos e processos.

6.4.15. Possuir políticas de acesso baseadas em função para controlar quem, o que, onde, quando e como os dados podem ser acessados.

6.4.16. Permitir que usuários privilegiados executem seu trabalho sem acesso a dados em texto não criptografado.

6.4.17. Compatibilidade com os sistemas operacionais:

• Windows Server: 2008, 2012 e 2016.

• Windows: 7; 8,1 e 10.

• Linux: RedHat 6.7-6.10; CentOS 6.7-6.10, Red Hat 7.0-7.6, Ubuntu e Debian.

6.5. AGENTES DE PROTEÇÃO DE DADOS PARA APLICAÇÃO MULTIPLATAFORMA – ITEM 09:

6.5.1. Este agente deve permitir a toquenização vaultless com o Dynamic Data Masking, para eficientemente Anonimizar dados, incluindo dados pessoais, quer eles residem onpremises, ambientes de big data ou a nuvem. Com isso, reduzir o escopo de conformidade substituindo dados confidenciais por um token não-sensível que olha e age como o original. Ou seja, proteção de dados sem a necessidade de alterar bancos de dados. Depois que os dados confidenciais são substituídos pelo token, os sistemas não estão mais sujeitos a conformidade, significando menos esforço para atender regulamentações.

6.5.2. Possuir alto desempenho com baixo impacto na performance da aplicação.

6.5.3. Possuir servidores de token virtual escalável.

6.5.4. Comunicação via TLS autenticado mutuamente.

6.5.5. Interface REST API com chamadas individuais e em lote.

6.5.6. Permitir geração de Tokens Aleatórios.

6.5.7. Compatível com FPE FF1, Tokens FF3.

6.5.8. Permitir Mascaramento Dinâmico ou Estático de Dados.

6.5.9. Gerenciamento de chaves e políticas.

6.5.10. Suporte AD / LDAP.

6.5.11. Suporte a dados numéricos e alfanuméricos.

6.5.12. Permitir a criação de tokens em formatos numéricos, de texto e de data para aplicativos únicos ou múltiplos.

6.5.13. Permitir utilizar grupos de usuários LDAP para decidir quais informações são exibidos para grupos específicos. Por exemplo, operadoras de call center versus gerentes de call center.

6.5.14. Suportar servidor de tokens no formato virtual de sua escolha: OVF, ISO, Microsoft Azure Marketplace ou Amazon AMI.

6.5.15. Restringir o acesso a ativos confidenciais sem alterar os esquemas do banco de dados, sem interrupções.

6.5.16. Proteger dados em trânsito e em repouso.

6.5.17. Mascarar os dados em ambiente de desenvolvimento, teste e terceirizados com acesso ao banco de dados.

6.5.18. Proteger DBAs, administradores de sistema, root, e usuários mal-intencionados com acesso direto ao banco, uma vez que os dados que este irão acessar não são dados reais.

6.6. AGENTES PARA PROTEÇÃO E CUSTODIA DE CHAVES MULTICLOUD – ITEM 11:

6.6.1. A Este agente deve prover o controle de chave pelo próprio cliente permitindo a separação, criação, propriedade, controle e revogação das chaves de criptografia sem a dependência do provedor. Deverá reduzir a complexidade do gerenciamento de chaves, dando ao próprio cliente controle de ciclo de vida de chaves de criptografia com gerenciamento centralizado, visibilidade e rastreabilidade.

6.6.2. Deverá cumprir com os regulamentos de proteção de dados e armazenamento de chaves rigorosos podendo chegar a FIPS 140-2 Nível 3, ou certificação equivalente.

6.6.3. Prover eficiência com gerenciamento de chave centralizado em ambientes de nuvem híbrida.

6.6.4. Fornecer acesso a cada provedor de nuvem a partir de uma única janela do navegador, incluindo várias contas ou assinaturas.

6.6.5. Rotacionar de forma automática as chaves para cumprir com regulamentações que exigem este serviço de rotação de chave.

6.6.6. Fornecer mecanismos simples, via login federado, para conceder acesso aos dados. Com isso, ser compatível com logins de serviços em nuvem que são autenticados e autorizados pelo provedor de serviços, isto é, nenhum banco de dados de login nem configuração AD ou LDAP é necessário.

6.6.7. Fornecer meios para solicitar a criação de chaves nos provedores de nuvem e fornecer gerenciamento completo do ciclo de vida das mesmas.

6.6.8. Controlar e gerenciar centralizadamente várias nuvens, IaaS e SaaS (Multicloud).

6.6.9. Prover registro (log), rastreabilidade e relatórios de conformidade totalmente independente do provedor de nuvem.

6.6.10. O agente deve suportar, pelo menos, os provedores de nuvem que seguem:

6.6.10.1. Microsoft Azure;

6.6.10.2. Microsoft Office365;

6.6.10.3. Amazon Web Services.

6.7. AGENTES PARA GESTÃO DE CHAVE LOCAL – ITEM 12:

6.7.1. Ser capaz de centralizar o gerenciamento de chaves de aplicativos de terceiros que usam criptografia nativa, tal como bancos de dados.

6.7.2. O agente deve ter a capacidade de conectar-se com os aplicativos por meio de interfaces padrão e fornecer acesso às funções robustas de gerenciamento de chaves.

6.7.3. Prove simplificação e redução da carga operacional por meio do gerenciamento centralizado de chaves.

6.7.4. Elevar o nível de segurança pela separação das chaves de criptografia das aplicações, banco de dados, storage e etc.

6.7.5. Gerenciar chave utilizando soluções de hardware ou software com certificação FIPS ou equivalente.

6.7.6. Suportar o protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP / PKCS) que é o padrão do setor para troca de chaves de criptografia entre clientes (usuários principais) e um servidor (armazenamento de chaves). A padronização simplifica o gerenciamento de chaves externas.

6.7.7. Garantir a custódia de chaves para, pelo menos:

6.7.7.1. A Oracle TDE;

6.7.7.2. SQL TDE;

6.7.7.3. Nutanix;

6.7.7.4. VMWare;

6.7.7.5. Cisco;

6.7.7.6. Netapp;

6.7.7.7. Certificados;

6.7.7.8. Aplicações desenvolvidas em casa;

6.7.7.9. Outros volumes compatíveis.

6.8. AGENTES PARA DESCOBERTA E CLASSIFICAÇÃO DE DADOS – ITEM 14:

6.8.1. A solução deverá possibilitar a descoberta de dados, em ambiente de dados estruturados e não estruturados, armazenados em diferentes repositórios, tais como:

6.8.1.1. Servidores de Arquivos;

6.8.1.2. Bancos de Dados;

6.8.1.3. Estações de trabalho.

6.8.2. A solução deve permitir, através de interface única, realizar o levantamento e entendimento dos dados existentes, sua localização e riscos associados, permitindo:

6.8.2.1. Atender aos requisitos de privacidade;

6.8.2.2. Obter visibilidade sobre os dados que estão em risco de exposição;

6.8.2.3. Suportar a criação de plano de privacidade e proteção de dados.

6.8.3. A solução ofertada deverá possibilitar, pelo menos, quatro níveis de classificação de dados por padrão:

6.8.3.1. Restrito;

6.8.3.2. Privado;

6.8.3.3. Interno;

6.8.3.4. Público.

6.8.4. A solução deve atribuir pontuações de risco que permitam identificar o nível de sensibilidade dos dados, como arquivos e bancos de dados, agregando os seguintes parâmetros:

6.8.4.1. Nível de proteção;

6.8.4.2. Quantidade de elementos encontrados;

6.8.4.3. Localização;

6.8.4.4. Quantidade de dados confidenciais.

6.8.5. As pontuações de risco devem permitir identificar os dados com maior exposição e permitir priorizar medidas de proteção.

6.8.6. A solução deve suportar os seguintes ambientes:

6.8.6.1. Armazenamento local em Hard Disk e Memória dos computadores;

6.8.6.2. Armazenamentos em rede;

6.8.6.3. Compartilhamento Windows CIS e SMB;

6.8.6.4. Network File System NFS;

6.8.6.5. Bancos de Dados:

6.8.6.6. SQL.

6.8.7. A solução deve suportar os seguintes tipos de arquivos:

6.8.7.1. Banco de Dados:

6.8.7.1.1. Access;

6.8.7.1.2. Dbase;

6.8.7.1.3. SQLite;

6.8.7.1.4. MSSQL MDF & LDF.

6.8.7.2. Arquivos de Imagens:

6.8.7.2.1. BMP;

6.8.7.2.2. FAX;

6.8.7.2.3. GIF;

6.8.7.2.4. JPG;

6.8.7.2.5. PDF;

6.8.7.2.6. PNG;

6.8.7.2.7. TIF.

6.8.7.3. Arquivos Compactados:

6.8.7.3.1. bzip2;

6.8.7.3.2. Gzip (todos os tipos);

6.8.7.3.3. TAR;

6.8.7.3.4. Zip (todos os tipos).

6.8.7.4. Microsoft Backup:

6.8.7.4.1. Microsoft Binary / BKF.

6.8.7.5. Microsoft Office: v5, 6, 95, 97, 2000, XP, 2003 e superiores.

6.8.7.6. Open Source:

6.8.7.6.1. Star Office;

6.8.7.6.2. Open Office.

6.8.7.7. Padrões abertos:

6.8.7.7.1. PDF;

6.8.7.7.2. HTML;

6.8.7.7.3. CSV;

6.8.7.7.4. TXT.

6.8.8. A solução deve classificar os dados como:

6.8.8.1. Dado pessoal;

6.8.8.2. Dados financeiros, com base em modelos integrados ou técnicas de classificação.

6.8.9. Deve possibilitar a identificação de informações padronizadas do Brasil, tais como:

6.8.9.1. Registro Geral (RG);

6.8.9.2. CPF;

6.8.9.3. CNH;

6.8.9.4. Passaporte.

6.8.10. A solução deve permitir a inclusão de modelos de políticas (descoberta e classificação) específicas para LGPD.

6.8.11. A solução deve fornecer relatórios detalhados para demonstrar conformidade com a Lei Geral de Proteção de Dados (LGPD).

6.8.12. A solução deve possibilitar a classificação de dados utilizando:

6.8.12.1. Regex,

6.8.12.2. Patterns,

6.8.12.3. Algoritmos,

6.8.12.4. Contexto.

6.8.13. A solução deve permitir ser implementada “com” ou “sem” agentes instalados.

6.8.14. A solução deve possuir as seguintes características funcionais:

6.8.14.1. Políticas: definir as políticas de privacidade de dados, locais e perfis de varredura e de classificação;

6.8.14.2. Descoberta: localizar dados estruturados e não estruturados, através de toda a organização em ambientes big data, banco de dados e sistema de armazenamento de arquivos;

6.8.14.3. Classificação: classificar dados pessoais e sensíveis, baseado em modelos pré-configurados e técnicas de classificação;

6.8.14.4. Análise de risco: entender a natureza do dado e seus riscos, oferecendo visualizações;

6.8.14.5. Relatórios: gráficos e relatórios de análise de risco, status e alertas durante todo o ciclo de vida do dado.

6.9. SERVIÇOS DE TREINAMENTO – ITEM 17:

6.9.1. O treinamento de capacitação técnica será ministrado para até 8 participantes selecionados pela ALMT, com carga horária mínima de 16 (dezesseis) horas, material oficial do fabricante, e conteúdo necessários a capacitá-los para utilizar o Sistema ofertado.

6.9.2. Deverá ser emitido certificado de participação ao final do curso.

6.9.3. Todo o material didático deve ser repassado de forma impressa e em mídia para os alunos.

6.9.4. Somente serão aceitos materiais oficiais dos fornecedores do Sistema ofertado, e não será permitida a adaptação sobre apostilas/conteúdos de cursos não oficiais.

6.9.5. Os instrutores deverão possuir experiência em didática, além de possuir certificação comprovada na área de segurança, em pelo menos uma das seguintes certificações:

6.9.5.1. ISC2 CSSLP - Certified Secure Software Lifecycle Professional (ISO/IEC 17024);

6.9.5.2. ISC2 CISSP – Certified Information System Security Professional;

6.9.5.3. ISC2 ISSAP – Information System Security Architect Professional;

6.9.5.4. CISM – Certified Information Security Manager;

6.9.5.5. CompTIA Security+: Competency in system security, network infrastructure, access control and organizational security.

6.9.6. O treinamento deverá ocorrer nas dependências da CONTRATANTE, ou local por ela indicado na capital do Estado, ficando responsável por montar o ambiente adequado para realização do mesmo, isto é, todo o espaço necessário assim como toda infraestrutura computacional e de rede necessária. Caberá à CONTRATADA instalar a solução ou possibilitar o acesso ao Sistema no ambiente de treinamento.

6.9.7. Todas as despesas relativas à execução do treinamento serão de exclusiva responsabilidade da CONTRATADA, incluindo os gastos com instrutores, seu deslocamento e hospedagem, a confecção e distribuição dos originais do material didático e a emissão de certificados para os profissionais treinados.

6.10. CONSULTORIA PARA AVALIAÇÃO PERIÓDICA (HEALTHCHECK) – ITEM 18:

6.10.1. O Serviço deverá rever a implementação existente, validando as suas políticas de operação e proteção. Estes elementos serão avaliados contra as melhores práticas de mercado e as políticas específicas do cliente. Todos os procedimentos operacionais, e configurações deverão ser avaliados e documentados para garantir a estabilidade de integridade e tolerância a falhas.

6.10.2. O Serviço deverá contemplar toda a solução implementada desde as consoles até os agentes de proteção de dados.

6.10.3. Deverá ser executado mediante emissão de ordens de serviço.

6.10.4. Deverá ser executado periodicamente de não excedendo o intervalo de dois meses entre as execuções.

6.10.5. O Serviço deverá ser executado nas dependências da CONTRATANTE, prioritariamente, em horário comercial. Caso a CONTRATANTE julgue necessário poderá ser agendada uma janela de manutenção fora do horário comercial sem custos adicionais para a contratante.

6.10.6. As Seguintes atividades deverão ser cobertas pelo serviço:

6.10.6.1. Verificar a configuração da solução, versão instalada e os requisitos de atualização, provendo relatório de impacto e orientação de planejamento para atualização;

6.10.6.2. Verificar a configuração de alta disponibilidade e status de replicação;

6.10.6.3. Verificar os procedimentos para fail-over;

6.10.6.4. Verificar os procedimentos de backup e restauração da plataforma, e as configurações do custodiante da chave;

6.10.6.5. Verificar as configurações de contas de administradores e domínios em relação aos requisitos de segurança;

6.10.6.6. Verificar os níveis e configurações de log atuais, a integração com quaisquer ferramentas SIEM e fornecer qualquer orientação sobre melhorias;

6.10.6.7. Verificar se as melhores práticas para backup automático e chaves estão implementadas e documentadas;

6.10.6.8. Identificar quaisquer políticas atualmente no modo de aprendizagem e o impacto potencial de permanecer nesse estado;

6.10.6.9. Avaliar e verificar os procedimentos gerais de implantação para criar e atualizar políticas e verificar a eficácia geral das políticas;

6.10.6.10. Analisar as configurações de log da solução e fazer as recomendações para eliminar mensagens de log desnecessárias e reduzir o número de logs que a solução precisa processar;

6.10.6.11. Demonstrar e executar relatórios que podem ser usados para verificar os resultados;

6.10.6.12. Revisar os procedimentos de atualização dos agentes de proteção instalados, como políticas de criptografia, configuração de hosts e instalação dos agentes;

6.10.6.13. Revisar os procedimentos operacionais existentes ou procedimentos de implantação de melhores práticas definidos e fazer recomendações e alterações conforme necessário;

6.10.6.14. Emitir relatório de status de saúde geral (HealthCheck) do ambiente contemplando, no mínimo, todos os itens de revisão e verificação.

6.10.7. Ao término da execução dos serviços de “HealthCheck” os relatórios deverão serão apresentados à CONTRATADA em mídia eletrônica para emissão do termo de aceite da ordem de serviço.

6.11. CONSULTORIA SOB DEMANDA PARA EMISSÃO DE RELATÓRIOS DE CONFORMIDADE COM A LGPD – ITEM 19:

6.11.1. O Serviço deverá realizar uma varredura no ambiente protegido pela solução identificando, neste ambiente, todos os pontos de não-conformidade com a LGPD.

6.11.2. O Serviço deverá contemplar toda a solução implementada desde os consoles até os agentes de proteção de dados.

6.11.3. O Serviço deverá ser executado nas dependências da CONTRATANTE, prioritariamente, em horário comercial. Caso a CONTRATANTE julgue necessário poderá ser agendada uma janela de manutenção fora do horário comercial sem custos adicionais para a contratante.

6.11.4. As seguintes atividades deverão ser cobertas pelo serviço:

6.11.4.1. Verificar a configuração do agente de descoberta e classificação de dados, versão instalada e os requisitos de atualização, provendo relatório de impacto e orientação de planejamento para atualização;

6.11.4.2. Verificar as configurações de classificação de dados, fazendo as recomendações de melhorias;

6.11.4.3. Verificar a programação de varredura implementada, comparando com as políticas de segurança da CONTRATANTE;

6.11.4.4. Verificar os logs das últimas varreduras identificando ocorrências de falhas e gerando recomendações para correções;

6.11.4.5. Avaliar as configurações de classificação de dados pessoais / sensíveis de acordo com a LGPD e suas atualizações, quando ocorrerem;

6.11.4.6. Realizar a varredura em todo ambiente atendido pela solução de proteção;

6.11.4.7. Gerar relatório de riscos e painéis gráficos;

6.11.4.8. Gerar relatório de conformidade com a LGPD;

6.11.4.9. Gerar recomendações de correção;

6.11.4.10. Emitir relatório consolidado da varredura com a evidência de todas as atividades realizadas, Painel de conformidade e lista de recomendações.

6.11.5. Ao término da execução dos serviços de “Consultoria sob demanda para emissão de relatórios de conformidade com a LGPD” o (s) relatório (s) deverão ser apresentados à CONTRATADA em mídia eletrônica para emissão do termo de aceite da ordem de serviço.

CLÁUSULA SÉTIMA – DO FORNECIMENTO DAS LICENÇAS

7.1. O fornecimento das licenças que compõem a solução deverá ocorrer por intermédio de ordem de fornecimento de bens.

7.2. A CONTRATADA terá o prazo de 05 (cinco) dias úteis para realizar a entrega das licenças a partir da data de emissão da ordem de fornecimento de bens.

7.3. As licenças deverão ser fornecidas na forma de certificado nomeadas a CONTRATANTE, e com os respectivos números de série.

7.4. Na ocasião do fornecimento das licenças, deverão ainda ser entregues os aplicativos instaladores (executáveis/binários) acompanhados de documentação técnica em formato digital (manuais de operação) de cada software que compõe a solução

Document Metadata

Table of Contents

Contract

Document Metadata