OBJETO
TERMO DE REFERÊNCIA – SOLUÇÕES DE TI
OBJETO
Contratação de serviços de monitoração de eventos de Segurança Cibernética, executando atividades de SOC (Security Operation Center) Nível 1 para tratamento e resposta a incidentes, através da identificação, análise e registro de possíveis incidentes de segurança e acionamento do SOC N2/N3
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SERVIÇOS DE MONITORAÇÃO DE SEGURANÇA CIBERNÉTICA – SOC N1
1) Objeto:
Contratação de serviços de monitoração de eventos de Segurança Cibernética, executando atividades de SOC (Security Operation Center) Nível 1 para tratamento e resposta a incidentes, através da identificação, análise e registro de possíveis incidentes de segurança e acionamento do SOC N2/N3.
3) Definições do procedimento licitatório:
3.1) Ata de Registro de Preços?
( ) | Sim | ( x ) | Não |
3.2) Lote único?
( X ) | Sim | ( ) | Não |
3.2.1) Caso negativo, indique a quantidade de lotes? Não se aplica.
2 (dois) 3 (três) Outro:
3.2.2) Indique as justificativas para a composição dos lotes:
Os itens são do mesmo segmento de mercado, motivo pelo qual a reunião desses não fere o caráter competitivo do certame, sendo comumente atendido pelo mercado. | |
Ganho por economia de escala, tendo em vista que a reunião dos itens num mesmo lote enseja maior atratividade do mercado fornecedor e reduz o custo com frete, taxas de administração, entre outros elementos da composição do custo. | |
Agrupamento de objetos objetivando o atendimento à padronização. | |
O não agrupamento de objetos poderá ensejar prejuízo ao conjunto ou complexo do objeto a ser licitado, conforme justificativa anexa. | |
Outras, indique no quadro abaixo: |
Não se aplica.
3.2.3) Descrição dos lotes: Não se aplica.
LOTE: 1
ITEM | CÓDIGO PBMS | DESCRIÇÃO | UNIDADE PADRÃO (UP) | QUANTIDADE |
1 | 7.80.140.721486 | SER TEC ESPEC SEGURANCA DE TI | UN | 1 |
3.2.4) Cota reservada para ME/EPP: Não se aplica. Não se trata de aquisição de bens de natureza divisível.
3.3 Enquadramento Legal (RLBB):
( ) Contratação Direta ( X ) Licitação Eletrônica
Caso seja contratação direta, informar o enquadramento: Não se aplica. ( ) Dispensa
( ) Inexigibilidade
3.4) Modo de Disputa:
( X ) Aberto (regra) ( ) Fechado
( ) Combinado
Caso seja definido o modo de disputa fechado, apresentar as devidas justificativas: Não se aplica.
3.5) Critérios de Julgamento:
( x ) Menor preço;
( ) Maior desconto; ( ) Melhor Técnica; ( ) Técnica e Preço;
( ) Outro critério de julgamento:
3.6) Habilitação
Flexibilização de requisitos habilitação:
Haverá flexibilização dos requisitos de habilitação. ( x ) Não ( ) Sim.
Descreva quais documentos e a forma de flexibilização: Não se aplica.
Descreva os benefícios/justificativa a serem alcançados com a flexibilização: Não se aplica.
4) Especificações do Edital
4.1) Prazo de Validade das Propostas: 120 (cento e vinte) dias corridos.
4.2) Documentação Técnica
4.2.1. Conforme relação anexa na etapa de assinatura de contrato.
4.3.) Etapa de Homologação
4.3.1.) Relação de Documentos: Não se aplica.
4.3.1.1) Prazo para apresentação: Não se aplica.
4.3.1.2) Responsável pela análise: Não se aplica.
4.3.1.3) Prazo para análise: Não se aplica.
4.4) Etapa de Assinatura do Contrato ou Ata
4.4.1) Relação de Documentos:
4.4.1.1 Comprovação de que possui equipe técnica com profissionais habilitados e capacitados a prestar os serviços definidos no item 7.1.2.10.
4.4.1.2 Caso a equipe do proponente sofra alguma alteração em sua composição durante a vigência do contrato, tal fato deve ser imediatamente informado ao gestor do contrato, incluindo as respectivas comprovações acerca dos requisitos de qualificação exigidos para esses profissionais.
4.4.1.3) Prazo para apresentação: 5 (cinco) dias corridos após a convocação
4.4.1.4) Responsável pela análise: UCF/Cyber
4.4.1.5) Prazo para análise: 5 (cinco) dias corridos após recebimento dos documentos.
4.5) Fase de Acionamento da Ata de Registro de Preços (Contrato Derivado): Não se aplica.
4.5.1) Relação de Documentos: Não se aplica.
4.5.1.1) Prazo para apresentação: Não se aplica.
4.5.1.2) Responsável pela análise: Não se aplica.
4.5.1.3) Prazo para análise: Não se aplica.
4.6) Homologação de equipamentos: Não se aplica.
4.7) Proposta
4.7.1) Informações que deverão constar da carta proposta
4.7.1.1 O proponente deverá enviar proposta comercial mencionando os valores seguindo os critérios definidos no item 7.1 adiante, conforme tabela abaixo:
Atividades | Valor Mensal R$ | Qtde meses | Valor total da Etapa R$ |
Monitoramento de SOC N1 - ETAPA 1 | |||
Monitoramento de SOC N1 - ETAPA 2 | |||
Período e Valor Total do Contrato* – R$ | |||
(*) Vigência de 24 meses
4.7.2) Demonstrativo de orçamento de custos (aplicável às contratações de serviços):
( ) Utilizar os demonstrativos constantes da minuta padrão de Edital sem adaptações. ( X ) Utilizar o modelo abaixo: Anexo 11.5.
4.8 Atestado (s) de capacidade técnica.
4.8.1) Xxxxxxxxx (s) por pessoa jurídica de direito público ou privado, que comprove (m) a aptidão da licitante para:
(X) Desempenho de atividade pertinente e compatível com o ramo de atividade de acordo com o objeto.
( ) Gerenciamento de mão de obra (exclusivo para serviços contínuos com cessão de mão de obra).
4.8.1.1 O proponente deverá apresentar atestado de capacidade técnica fornecido por pessoa jurídica de direito público (Administrações Públicas Federal, Estadual ou Municipal ou do Distrito Federal) ou privado, que comprove aptidão para fornecimento de serviço de monitoramento de segurança de TI, ou atividade equivalente ou compatível, em escala 24x7, pelo período mínimo de 12 (doze) meses.
4.8.1.2 O atestado de capacidade técnica deverá ser emitido em papel timbrado do atestante, contendo as seguintes informações: nome da empresa, razão social, CNPJ, nome completo do responsável pelas informações, período de realização do serviço, objeto contratual e manifestação quanto a qualidade e/ou satisfação pelo serviço prestado.
4.8.1.3 Não será considerado válido o atestado emitido de serviços que tenham decorridos prazo inferior a 12 meses de execução.
4.8.2) Quantitativo mínimo exigido no atestado: Não se aplica.
4.9) Condições para adjudicação: Não se aplica.
4.10) Critérios de Sustentabilidade:
4.10.1) A presente contratação contém outros critérios sustentáveis que objetivam a preservação do meio ambiente e/ou o desenvolvimento econômico e social do país, além dos estabelecidos nas minutas de contrato? Não.
Caso positivo, descreva os referidos critérios, bem como a forma de comprovação: Não se aplica.
4.10.2) Caso algum dos critérios citados nas minutas de contrato não possam ser aplicados na presente contratação, indicar as devidas justificativas: Não se aplica.
4.11) Informação sobre a decisão de parcelamento ou não da Solução. Não se aplica.
4.12) Informação sobre a possibilidade de participação de xxxxxxxxx. Não será permitida a participação de consórcio.
4.13) Nas contratações de serviços informar obrigatoriamente:
a) se haverá ou não dedicação exclusiva de mão de obra: Sim.
b) se o serviço é de natureza continuada ou não: Não.
c) se será permitida a participação de cooperativas: Não.
4.14) Informações complementares:
4.14.1. Especificação da(s) entrega(s):
4.14.1.1. O proponente deverá entregar um Plano de Trabalho das Atividades, no prazo máximo de 15 (quinze) dias corridos, contados a partir data de assinatura do contrato, contendo, no mínimo:
4.14.1.1.1. Planejamento da execução das atividades (cronograma de treinamentos, prazo para inicio da atividades);
4.14.1.1.2. Escala de atendimento do monitoramento das atividades (atividades e respectivo responsável/cargo);
4.14.1.1.3. equipe que comporá a execução das atividades, com a quantidade de pessoas, suas funções, e se possível, descrevendo os horários de trabalho
de cada função, escala de revezamento 24x7 e plantões que sejam necessários;
4.14.1.1.4. gestão dos serviços.
4.14.1.2. O banco avaliará o Plano de Trabalho das Atividades fornecido pelo proponente no prazo máximo de 10 (dez) dias corridos, contados a partir da data de entrega do referido plano.
4.14.1.3. O banco poderá solicitar alteração do Plano de Trabalho das Atividades, caso julgue necessário e de comum acordo com o Proponente.
4.14.1.4. Caso o Plano de Trabalho das Atividades não seja aceito pelo banco, o proponente terá prazo de 5 (cinco) dias corridos, a partir da data de comunicação do fato, para efetuar todos os ajustes necessários para a apresentação de um novo plano. Nesse caso, o banco terá novo prazo de 10 (dez) dias corridos, a partir da data de entrega, para avaliar o novo plano.
5) Subcontratação / Parcela(s) de maior relevância para o ramo da empresa contratar*
O Proponente obriga-se a prestar os serviços diretamente, executando as atividades de acordo com os procedimentos divulgados pelo CONTRATANTE em seus materiais
de capacitação, checklist, scripts e roteiros, sendo vedada a subcontratação, cessão ou transferência total ou parcial do objeto do contrato.
6) Garantia Financeira da Execução Contratual
Não será exigida.
Justificar:
Será exigida no percentual equivalente a:
% do valor do contrato.
7) Especificações técnicas e condições de prestação dos serviços
7.1) Definição:
Os serviços de monitoração serão contratados em duas etapas, a saber:
• Etapa 1 – Serviços definidos nos itens de 7.1.1.1.1 a 7.1.1.1.5 terão início a partir da assinatura do contrato;
• Etapa 2 – serviços definidos nos itens de 7.1.1.1.6 a 7.1.1.1.11, terão início após decorridos 12 (doze) meses da assinatura do contrato, desde que os serviços mencionados na etapa 1 tenham sido aprovados pelo Banco.
As atividades elencadas abaixo serão desempenhadas a partir do inicio da prestação dos serviços.
7.1.1) dos requisitos funcionais e não funcionais; REQUISITOS GERAIS - SOC – NÍVEL 1
7.1.1.1 REQUISITOS FUNCIONAIS
7.1.1.1.1 CENTRAL DE OPERAÇÕES DE SERVIÇOS E GESTÃO DE INCIDENTES CIBERNÉTICOS.
7.1.1.1.1.1 monitorar e tratar eventos de segurança cibernética;
7.1.1.1.1.2 receber acionamentos de outras áreas, além das equipes de segurança cibernética;
7.1.1.1.1.3 abrir e fazer a triagem de chamados de segurança cibernética;
7.1.1.1.1.4 fazer primeiro atendimento de reportes de incidentes de segurança cibernética;
7.1.1.1.1.5 atender incidentes simples, os quais possuem instruções indicadas em playbooks;
7.1.1.1.1.6 elaborar e-mails das ofensas e encaminhar para SOC N2 ou SOC N3 despachar;
7.1.1.1.1.7 elaborar querys/scripts de rastreamento quando necessário;
7.1.1.1.1.8 elaborar manual de usuário das atividades de SOC que se fizerem necessários;
7.1.1.1.1.9 IPs externos deverão ser analisados e contextualizados conforme sua criticidade;
7.1.1.1.1.10 fazer passagem de turno, acompanhar incidentes e realizar “follow-ups”, de modo que haja acompanhamento integral do ticket aberto.
7.1.1.1.1.11 Prestar suporte/apoio ao processo de a automação das atividades relacionadas ao SOC N1.
7.1.1.1.2 MONITORAMENTO DE EVENTOS DE SEGURANÇA (ALERTA/INCIDENTES).
7.1.1.1.2.1 realizar tratamento e investigação dos alertas gerados pela ferramenta de SIEM;
7.1.1.1.2.2 realizar priorização, encadeamento, indexação e retenção de alertas, conforme os playbooks fornecidos pelo Banco do Brasil e informações geradas pela própria ferramenta de SIEM;
7.1.1.1.2.3 verificar e tratar os alertas de segurança gerados pelo sistema;
7.1.1.1.2.4 realizar ações relacionadas a alertas de segurança (incluir, ocultar, exportar, designar alertas), conforme os playbooks fornecidos pelo Banco do Brasil e informações geradas pela própria ferramenta de SIEM;
7.1.1.1.2.5 realizar a identificação de falsos positivos, informando a equipe do SOC N2/N3, para ajustes nas regras de correlacionamento;
7.1.1.1.2.6 registrar e acompanhar eventos em solução ITSM, conforme os playbooks fornecidos pelo Banco do Brasil e informações geradas pela própria ferramenta de SIEM;
7.1.1.1.2.7 direcionar alertas/incidente para o SOC N2/N3 ou instâncias superiores, conforme os playbooks fornecidos pelo Banco do Brasil e informações geradas pela própria ferramenta de SIEM;
7.1.1.1.2.8 identificar desvios de crescimento de ativos e reportar quaisquer irregularidades observadas ao SOC N2/N3;
7.1.1.1.2.9 monitorar perfis e lista de ativos e reportar ao SOC N2/N3 quaisquer disparidades encontradas;
7.1.1.1.2.10 realizar monitoração de atividades de logs de aplicativos e/ou de redes;
7.1.1.1.2.11 propor a criação, alteração, customização, renomeação e/ou remoção de regras, para melhorar os alertas, diminuir a quantidade falsos-positivos, aumentar sua qualidade/efetividade.
7.1.1.1.2.12 Monitorar e tratar de eventos de acessos a DeepWeb, de acordo com regras definidas nos procedimentos ou Playbooks elaborados pelo Banco do Brasil;
7.1.1.1.2.13 Sugerir elaboração, mudanças e manutenção de playbooks para cada caso de uso;
7.1.1.1.2.14 Sugerir elaboração de planos de melhorias no processo de análise de potenciais incidentes.
7.1.1.1.3 SERVIÇOS DE GESTÃO DE VULNERABILIDADES
7.1.1.1.3.1 Abrir ticket de vulnerabilidade, classifica-la baseado na severidade publicada em CVE (Common Vulnerabilities and Exposures) e nos alertas emitidos pelo Banco do Brasil ou por parceiros/fornecedores ou mesmo pelo próprio mercado;
7.1.1.1.3.2 realizar classificação, verificação, priorização de vulnerabilidades de segurança;
7.1.1.1.3.3 identificar qual é a vulnerabilidade e o seu nível de criticidade, assim como dar a devida priorização para vulnerabilidades críticas;
7.1.1.1.3.4 direcionar ticket às áreas responsáveis e fazer o acompanhamento das medidas tomadas para atualizações/correções;
7.1.1.1.3.5 elaborar relatórios de vulnerabilidades, contendo as vulnerabilidades notificadas, data/hora, área responsável, data/hora da notificação, resposta da área responsável, prazo estipulado para correção e outros dados que possam ser relevantes para o acompanhamento do alerta;
7.1.1.1.3.6 notificar o SOC N2/N3 para que sejam tomadas ações para mitigar os efeitos da vulnerabilidade detectada;
7.1.1.1.3.7 realizar acompanhamento dos tickets e notificar SOC N2/N3 em caso de atrasos, áreas não notificadas, problemas na correção, etc.
7.1.1.1.4 FERRAMENTA DE SIEM
7.1.1.1.4.1 monitorar alertas do SIEM, realizando a leitura e interpretação destes alertas de forma a preceder com a abertura de tickets para análise/acompanhamento via ferramenta de ITSM;
7.1.1.1.4.2 gerar relatórios, a pedido do Banco do Brasil;
7.1.1.1.4.3 checar status dos coletores e alertar o SOC N2 em caso de problemas;
7.1.1.1.4.4 checar status das fontes/origem de Logs e alertar o SOC N2 em caso de problemas;
7.1.1.1.4.5 checar integrações (com outras soluções) e alertar o SOC N2/N3 em caso de problemas;
7.1.1.1.4.6 monitorar recursos (CPU, memória, espaço em disco, eventos/flows por segundo (EPS, FPS), etc) e alertar o SOC N2/N3 em caso de problemas;
7.1.1.1.4.7 propor a criação, alteração, customização, renomeação e/ou remoção de painéis/dashboards;
7.1.1.1.4.8 propor melhorias nas notificações do sistema, de modo a agilizar o trabalho dos SOCs;
7.1.1.1.4.9 propor a criação, alteração, customização, renomeação e/ou remoção de regras.
7.1.1.1.5 DDoS (NEGAÇÃO DE SERVIÇOS 7.1.1.1.5.1 monitorar alerta de operadoras;
7.1.1.1.5.2 monitorar alertas provenientes de soluções anti DDoS interna do Banco do Brasil;
7.1.1.1.5.3 abrir e acompanhar tickets em ferramenta de ITSM para eventos de DoS;
7.1.1.1.5.4 checar reputação de IP(s) ofensor(es) junto a fontes externas confiáveis;
7.1.1.1.5.5 checar reputação de Autonomous System junto a fontes externas confiáveis;
7.1.1.1.5.6 validar e correlacionar informações complementares obtidas no SIEM para incrementar a análise do SOC N2 e garantir que IPs ofensores sejam incluídos nas ferramentas de monitoração.
7.1.1.1.5.7 Monitorar recursos da solução; 7.1.1.1.5.8 Atualizar listas de acessos (IP, URL); 7.1.1.1.5.9 Gerar relatórios de eventos detectados
As atividades elencadas abaixo serão desempenhadas após decorridos 12 (doze) meses do início das atividades mencionadas na etapa 1, desde que tais serviços tenham sido aprovados pelo Banco, ou em prazo inferior conforme acordado entre as partes.
7.1.1.1.6 ANTIVIRUS
7.1.1.1.6.1 executar varredura de malware baseado em alertas da ferramenta de SIEM;
7.1.1.1.6.2 monitorar recursos da solução de antivírus, verificando o consumo de CPU, memória, espaço em disco, baseado em alerta da ferramenta, para abertura de tickets em ferramenta de ITSM para repasse ao SOC N2/N3;
7.1.1.1.6.3 checar reputação de arquivo suspeito em fontes externas confiáveis, para complementar a análise dos alertas e informações no ticket.
7.1.1.1.6.4 Instalar produtos de antivírus, atualizar definições;
7.1.1.1.6.5 Aplicar troubleshoot de problemas básicos (bloqueio de arquivos ou programa pontual);
7.1.1.1.6.6 Checar reputação de arquivo suspeitos
7.1.1.1.6.7 Solicitar vacina ao fornecedor para código malicioso detectado
7.1.1.1.7 E-MAIL/ANTISPAM
7.1.1.1.7.1 verificar status da mensagem com base em algum alerta detectado e análise de cabeçalho (mensagem original), para complementar as informações repassadas para o SOC N2 em ticket aberto via ferramenta de ITSM;
7.1.1.1.7.2 Analisar/Liberar mensagem na quarentena de acordo com regras estabelecidas pelo SOC-N2/N3;
7.1.1.1.7.3 monitorar recursos da solução; 7.1.1.1.7.4 atualizar listas de acessos (IP; URL); 7.1.1.1.7.5 gerar relatórios de eventos detectados
7.1.1.1.7.6 extrair IoCs (indicador de comprometimento) para compartilhamento e correlacionamento de regras.
7.1.1.1.8 PROXY/FILTRO DE CONTEÚDO
7.1.1.1.8.1 monitorar recursos da solução (CPU, memória, espaço em disco, etc) e alertar SOC N2/N3 em caso de problemas, além de efetuar abertura de tickets em ferramenta de ITSM.
7.1.1.1.8.2 atualizar listas de acessos (IP; URL); 7.1.1.1.8.3 gerar relatórios de eventos detectados
7.1.1.1.8.4 extrair IoCs para compartilhamento e correlacionamento de regras
7.1.1.1.9 IPS
7.1.1.1.9.1 monitorar recursos da solução (CPU, memória, espaço em disco, etc) e alertar SOC N2/N3 em caso de problemas, além de efetuar abertura de tickets em ferramenta de ITSM.
7.1.1.1.9.2 atualizar listas de acessos (IP; URL); 7.1.1.1.9.3 gerar relatórios de eventos detectados
7.1.1.1.9.4 extrair IoCs para compartilhamento e correlacionamento de regras
7.1.1.1.10 ATP
7.1.1.1.10.1 monitorar recursos da solução (CPU, memória, espaço em disco, etc) e alertar SOC N2/N3 em caso de problemas, além de efetuar abertura de tickets em ferramenta de ITSM.
7.1.1.1.10.2 atualizar lista de acessos (IP, URL) 7.1.1.1.10.3 gerar relatórios de eventos detectados;
7.1.1.1.10.4 extrair IoCs para compartilhamento e correlacionamento de regras
7.1.1.1.11 MONITORAMENTO DE PHISHING
7.1.1.1.11.1 Abrir e tratar tickets de denúncias de phishing direcionados ao Banco do Brasil
7.1.1.1.11.2 Solicitar takedown de páginas de phishing direcionadas ao Banco do Brasil.
7.1.1.2 REQUISITOS NÃO FUNCIONAIS
7.1.1.2.1 ESCALA DAS ATIVIDADES DO SOC N1
7.1.1.2.1.1 O proponente deve desempenhar as atividades 24 horas por dia, 7 dias por semana, 365 dias ao ano
7.1.1.2.1.2 O proponente deve oferecer pessoal suficiente para que não haja interrupção na monitoração das atividades
7.1.1.2.1.3 O proponente deve disponibilizar pessoal qualificado para o desempenho das atividades
7.1.1.2.2 IMPLEMENTAÇÃO
7.1.1.2.2.1 O proponente utilizará, em suas instalações, soluções de propriedade do Banco do Brasil para o monitoramento/tratamento de incidentes de segurança e respectivos registros de tickets para seu acompanhamento e análise
7.1.1.2.2.2 O proponente deverá prover infraestrutura (servidores, armazenamento, conectividade, ou quaisquer outras que se façam necessárias) para a devida prestação dos serviços sob sua competência, que deverá ter compatibilidade com infraestrutura do Banco do Brasil
7.1.1.2.2.3 O proponente cumprirá todos os padrões de segurança e regras de uso de controle de acesso devidos ao desempenho de suas atividades, assim como os estipulados pelo Banco do Brasil e baseado em políticas de segurança vigentes
7.1.1.2.3 PROCESSAMENTO, ARMAZENAMENTO E COMUNICAÇÃO
7.1.1.2.3.1 O proponente deverá prover infraestrutura de processamento e armazenamento escalável, de forma a suprir as necessidades do monitoramento das atividades durante toda a vigência do contrato
7.1.1.2.3.2 O proponente deverá possuir arquitetura Web compatível com as configurações necessárias para acesso às ferramentas disponibilizadas pelo Banco do Brasil
7.1.1.2.3.3 Navegadores 64 bit suportados: Mozilla Firefox (60 ou superior), Microsoft Edge (38.14393 ou superior) e Google Chrome (86.0.4240.75).
7.1.1.2.4 SEGURANÇA DE TI
7.1.1.2.4.1 O proponente será responsável por garantir a disponibilidade, confidencialidade e integridade de todas as atividades desempenhadas, bem como informações processadas e armazenadas
7.1.1.2.4.2 O proponente deverá garantir o critério do menor privilégio nas configurações de firewall e demais periféricos de camadas de rede
7.1.1.2.4.3 O proponente deverá garantir segurança em qualquer solução de sua propriedade que venha a utilizar os recursos tecnológicos do Banco do Brasil
7.1.1.2.5 SEGURANÇA FÍSICA
7.1.1.2.5.1 O proponente deverá ter controle de acessos autorizados de usuários ou terceiros, se for o caso, nas áreas destinadas a processamento, armazenamento e monitoramento das atividades desempenhadas.
7.1.1.2.5.2 O proponente deverá possuir sistemas de detecção e alarmes contra intrusão nos ambientes em que serão desempenhadas as atividades de monitoramento de incidentes.
7.1.1.2.5.3 O proponente deverá possuir sistemas de prevenção e combate a incêndio englobando hidrantes, extintores, sprinklers, detecção de incêndio, etc.
7.1.1.2.5.4 O proponente deverá instalar e manter em funcionamento câmeras de monitoramente de segurança nos ambientes em que serão desempenhadas as atividades contratadas.
7.1.1.2.6 GARANTIAS
7.1.1.2.6.1 O proponente se compromete a prestar os serviços conforme estabelecido em contrato, respeitando prazos, regras e acordos estabelecidos
7.1.1.2.6.2 O não cumprimento dos prazos acarretará em descontos sobre o valor mensal da fatura.
7.1.1.2.6.3 Os prazos poderão ser flexibilizados quando da ocorrência de indisponibilidades de serviços e ferramentas sob responsabilidade do Banco do Brasil
7.1.1.2.7 SUPORTE
7.1.1.2.7.1 O suporte às ferramentas de propriedade do Banco do Brasil será de sua responsabilidade, sendo ele encarregado de efetuar ajustes, acionamentos ou qualquer ação necessária para a manutenção dos serviços
7.1.1.2.7.2 O Banco do Brasil se compromete a notificar, dentro de suas possibilidades e com a maior antecedência possível, quaisquer indisponibilidades que venham a comprometer o funcionamento das ferramentas de sua propriedade
7.1.1.2.7.3 O suporte à infraestrutura necessária ao desempenho das funções do contratado é de sua inteira responsabilidade
7.1.1.2.7.4 O Proponente deverá possuir a capacidade de gerar, distribuir e arquivar relatórios, reportes e sumários sob demanda ou automaticamente;
7.1.1.2.7.5 O Proponente deverá realizar reunião de ponto de controle relatando as atividades, eventos e situações ocorridas no período anterior. Tais reuniões poderão ser semanais, quinzenais ou mensais, conforme acordado entre as partes.
7.1.2) definição das responsabilidades do Banco do Brasil e do proponente;
7.1.2.1 Para a prestação dos serviços, o Banco disponibilizará as ferramentas de SIEM, ITSM e demais aplicações de segurança. A gestão dos acessos a essas ferramentas ficará a cargo do Banco.
7.1.2.2 A operacionalização das soluções e aplicações se dará por meio de VPN internet ou link dedicado sob responsabilidade do proponente.
7.1.2.3 A infraestrutura tecnológica necessária à prestação dos serviços, compreendendo computadores, software básico e de apoio, bem como as conexões física e lógica à rede do banco, será provida e gerida pela empresa proponente e deve estar operacional no prazo de até 15 (quinze) dias corridos após a assinatura do contrato. Esse prazo poderá ser prorrogado a critério do Banco ou desde que acordado entre as partes.
7.1.2.4 Quando utilizar softwares de sua propriedade, o proponente deverá adotar versões e tecnologias compatíveis às adotadas pelo banco. Serviços prestados com ferramentas incompatíveis facultam a recusa de recebimento do serviço pelo banco.
7.1.2.5 O Banco poderá, a seu critério, atualizar as versões dos sistemas operacionais, das linguagens de desenvolvimento e das ferramentas de sua plataforma tecnológica, os processos, ferramentas de apoio aos processos, normas, padrões e melhores práticas por ele adotadas.
7.1.2.6 Todos os entregáveis serão de propriedade do Banco e este reserva-se o direito de utilizá-los como lhe aprouver, sem aviso prévio à proponente.
7.1.2.7 O detalhamento operacional para os procedimentos necessários à execução dos serviços pelo proponente será estabelecido entre banco e proponente em playbook(s) após a assinatura do contrato.
7.1.2.8 Caberá ao proponente a responsabilidade por eventuais custos de deslocamento, estada e alimentação de seus profissionais envolvidos na prestação dos referidos serviços.
7.1.2.9 O proponente deverá disponibilizar equipe técnica capacitada para atender aos serviços contratados, dentro dos prazos previstos, cumprindo rigorosamente o estabelecido no item 10.7 - Níveis Mínimos de Serviços Exigidos (NMSE).
7.1.2.10 Para os serviços de monitoração é imprescindível equipe de pessoal especializada, devendo o proponente alocar profissionais com os perfis e qualificações mínimas aqui descritos pelo Banco, mantendo ao longo da vigência do contrato todas
as condições.
7.1.2.10.1 Responsável (Gerente/Supervisor/líder) pelo SOC N1/Monitoramento de SOC N1
a) Perfil: Profissional que possua tanto competências gerenciais quanto conhecimentos técnicos, sobretudo relacionados à segurança da informação e redes. É recomendável que este profissional possua experiência na gestão de atividades relacionadas a blue team/red team. Espera-se que este profissional tenha condições de gerenciar com efetividade a execução do Contrato como um todo, bem como intervir, quando necessário, em atividades específicas que porventura apresentem quaisquer dificuldades em sua execução, providenciando os ajustes necessários à efetividade da relação entre Banco e proponente;
b) Qualificação mínima:
i) Nível superior completo na área de informática, administração ou outra área com especialização em Tecnologia da Informação – carga horária mínima da especialização de 360 horas;
ii) Experiência mínima de 36 meses em atividades similares ao perfil exigido.
7.1.2.10.2 Operador de Monitoramento
a) Perfil: Profissional capacitado para execução de monitoramento de atividades de SOC. Espera-se que esse profissional seja capaz de identificar e tratar qualquer evento de segurança de TI gerado pelo sistema do Banco, conforme roteiros ou playbook disponibilizados pelo Banco, e dar o devido tramento até a solução do mesmo;
b) Qualificação mínima:
i) Nível superior ou tecnólogo completo na área de Informática ou correlatos;
ii) Experiência mínima de 12 meses em atividades similares ao perfil exigido.
7.1.2.11 O Banco poderá solicitar a substituição de profissionais, caso verificado que a equipe não possui em seu conjunto as competências exigidas ou caso algum apresente conduta inadequada de acordo com o código de ética, procedimentos de segurança e/ou sigilo de informações do Banco.
7.1.2.12 Para prestação dos serviços, o proponente deverá comprovar, no mínimo 50% dos colaboradores operacionais que comporão a equipe de monitoração SOC N1, que possuam no mínimo uma certificação e dois cursos de soluções, dentre os abaixo relacionados:
7.1.2.12.1 Curso de IPS (Intrusion Prevention System): Sourcefire ou McAfee ou ISS ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.2 Curso de Firewall: Check Point ou Fortinet ou Palo Alto ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.3 Curso de Proteção DDoS: Arbor ou Radware ou F5 ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.4 Curso de Balanceamento de Carga: F5 ou Citrix ou A10 ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.5 Curso de Filtragem de Email: Symantec ou McAfee ou Ironport ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.6 Curso de Filtro de conteúdo de Web: Symantec ou McAfee ou Ironport ou outro de grande relevância no mercado aceito pelo Contratante.
7.1.2.12.7 CISSP (ISC)²
7.1.2.12.8 SSCPCSX Cybersecurity Practitioner Certification (CSX-P).
7.1.2.12.9 Certified Incident Handler (ECIH). 7.1.2.12.10 Certificação CompTIA Security+.
7.1.2.12.11 Certificação Certified Ethical Hacker – CEH. 7.1.2.12.12 Certified Information Security Manager (CISM). 7.1.2.12.13 Certified Network Defender (CND)
7.1.2.12.14 Certified SOC Analyst (CSA) 7.1.2.12.15 CompTIA CASP+
7.1.2.12.16 CompTIA CySA+
7.1.2.12.17 CompTIA PenTest+
7.1.2.12.18 EC-Council Certified Security Analyst (ECSA) 7.1.2.12.19 EC-Council Certified Security Specialist (ECSS) 7.1.2.12.20 Offensive Security Certified Professional (OSCP)
7.1.2.13 A Proponente deverá comprovar obrigatoriamente, para o(s) profissional(is) que vier(em) ocupar(em) qualquer cargo de liderança da equipe, no mínimo, uma certificação e dois cursos de soluções dentre os elencados no item 7.1.2.12.
7.1.3) Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico: Não se aplica.
7.1.4) Treinamento para utilização da solução: Não se aplica.
7.1.5) Medidas de Segurança para a transmissão e armazenamento de dados:
Não se aplica
7.1.6) Alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços. Não se aplica.
7.2) Especificações técnicas
As especificações técnicas constam do Anexo ou IN (citar o nº).
Conforme consta neste documento
8) Aspectos Tributários
Evento CDA vinculado: 2469 SITES ESPURIOS - RETIRADA – EMPRESA CONTRATADA
Desdobramento : 1.07 Vigencia : 31 / 07 / 2003 a em aberto
SUPORTE TÉCNICO EM INFORMÁTICA, INSTALAÇÃO, CONFIG. E MANUT. DE PROGRAMAS
9) Serviços Agregados a Investimento
Os serviços a serem contratados não envolvem valores previstos no ORFIX.
9.1) Limitação da Responsabilidade Civil do proponente
Utilizar as claúsulas da minuta padrão do contrato.
Para os objetos, onde o Xxxxxxxxxx entenda que a responsabilidade civil da empresa proponente deva ser limitada, deve-se utilizar as Cláusulas abaixo, em substituição às constantes da Minuta Padrão, definindo o valor da limitação, bem como apresentar justificativa, conforme o disposto na Nota Explicativa:
CLÁUSULA XX - O proponente responderá pecuniariamente, até o limite de XX vezes o valor global do contrato [limite a ser definido pelo Demandante ou Gestor de Suprimento], por danos e/ou prejuízos que forem causados ao CONTRATANTE, ou a terceiros, decorrentes de falha dos serviços ora contratados, inclusive os motivados por greves ou atos dolosos de seus empregados. Assume o proponente, nesse caso, a obrigação de efetuar a respectiva indenização até o 5º (quinto) dia útil após a comunicação, que lhe deverá ser feita por escrito.
CLÁUSULA XX - O proponente responderá pessoal, direta e exclusivamente pelas reparações decorrentes de acidentes de trabalho na execução dos serviços contratados, uso indevido de marcas e patentes e danos pessoais ou materiais causados ao CONTRATANTE ou a terceiros, mesmo que ocorridos na via pública, até o limite estabelecido na Cláusula XX. Responsabiliza-se, igualmente, pela integridade do local de prestação dos serviços, respondendo pela destruição ou danificação de quaisquer de seus elementos, inclusive de caso fortuito ou força maior inerentes aos riscos dos serviços ora contratados.
Justificativa:
9.2) Instalação: Não se aplica.
9.3) Matriz de Riscos
MATRIZ DE RISCOS
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Risco atinente ao Tempo da Execução | Atraso na execução do objeto contratual por culpa do Contratado. | Aumento do custo do produto e/ou do serviço. | Contratado |
Fatos retardadores ou impeditivos da execução do Contrato próprios do risco ordinário da atividade empresarial ou da execução. | Aumento do custo do produto e/ou do serviço. | Contratado | |
Fatos retardadores ou impeditivos da execução do Contrato que estejam na álea econômica. | Aumento do custo do produto e/ou do serviço. | Contratante | |
Risco da Atividade Empresarial | Alteração de enquadramento tributário, em razão do resultado ou de mudança da atividade empresarial, bem como por erro do Contratado na avaliação da hipótese de incidência tributária. | Aumento ou diminuição do lucro do Contratado. | Contratado |
Variação da taxa de câmbio. | Aumento ou diminuição do custo do produto e/ou do serviço. | Contratado | |
Violação de dados pessoais de terceiros identificados e identificáveis por falha de segurança técnica e administrativa. | Sujeito às penalidades contratuais por infringência à Lei Geral de Proteção de Dados. | Contratado | |
Violação de dados pessoais de terceiros identificados e identificáveis por descumprimento das orientações do Contratante. | Sujeito às penalidades contratuais por infringência à Lei Geral de Proteção de Dados. | Contratado | |
Violação de dados pessoais de terceiros identificados e identificáveis por descumprimento das normas de proteção de dados. | Sujeito às penalidades contratuais por infringência à Lei Geral de Proteção de Dados. | Contratado | |
Elevação dos custos operacionais para o desenvolvimento da atividade empresarial em geral e para a execução do objeto em particular, tais como aumento de preço de insumos, prestadores de serviço e mão de obra, devidamente comprovados. | Aumento do custo do produto e/ou do serviço. | Contratante |
CATEGORIA DO RISCO | DESCRIÇÃO | CONSEQUÊNCIA | ALOCAÇÃO DO RISCO |
Riscos Trabalhistas e Previdenciário | Responsabilização do BB por verbas trabalhistas e previdenciárias dos profissionais do Contratado alocados na execução do objeto contratual. | Geração de Custos trabalhistas e/ou previdenciários para o BB, além de eventuais honorários advocatícios, multas e verbas sucumbenciais. | Contratado |
Risco Tributário e Fiscal (Não Tributário). | Responsabilização do BB por recolhimento indevido em valor menor ou maior que o necessário, ou ainda de ausência de recolhimento, quando devido, sem que haja culpa do BB. | Débito ou crédito tributário ou fiscal (não tributário). | Contratado |
#Pública
9.4) Vigência contratual.
a. O instrumento contratual terá vigência de 24 (vinte e quatro) meses, prorrogáveis por até 60 (sessenta) meses. A prorrogação só ocorrerá se o Banco emitir termo de aceite das atividades realizadas nos 24 (vinte e quatro) meses iniciais de prestação de serviços.
Caso seja necessária que a vigência ultrapasse os cinco anos, justifique: Não se aplica.
Justificativa:
9.5) Início da prestação dos serviços:
( x ) A prestação dos serviços deverá se iniciar em até 15 (quinze) dias contados a partir da assinatura do contrato.
( ) A prestação dos serviços deverá se iniciar em / / ( ) Outras condições (especificar):
9.6) Xxxxx Xxxxxx:
Não será exigido.
Serão exigidos, no mínimo 90 (noventa) dias de aviso prévio.
9.7) Cláusulas referentes à Lei Geral de Proteção de Dados Pessoais (LGPD)
A contratação envolve o tratamento de dados na categoria de Controlador para Controlador. (“Co-Controladores”) |
A contratação envolve o tratamento de dados na categoria de Controlador para Operador. |
A contratação não envolve o tratamento de dados. |
10) Cláusulas Contratuais
#Pública
10.1) Condições de Pagamento.
( ) As condições de pagamento serão aquelas estabelecidas na minuta padrão do contrato.
( X ) Outras, Especificar.
10.1.1 O pagamento será efetuado mensalmente com valor fixo referente aos serviços prestados no mês anterior.
10.1.2 O proponente deverá encaminhar em até 2 (dois) dias úteis ao mês subsequente a prestação dos serviços relatório com a quantidade de tickets e eventual desconto aplicado em caso de descumprimento de SLA.
10.1.3 O Banco validará as informações em até 3 (três) dias úteis após recebimento do relatório do proponente.
10.1.3.1 Caso o Fiscal constate qualquer divergência ou irregularidade no relatório, Banco e Proponente deverão se reunir para as devidas correções.
10.1.4 Após validação do relatório pelo Banco o proponente terá 5 (cinco) dias úteis para apresentação da Nota Fiscal.
10.1.5 O Banco terá 5 (cinco) dias úteis após o recebimento da Nota Fiscal para efetuar o pagamento da fatura mensal referente a prestação dos serviços.
10.1.6 O não atendimento, pelo proponente, dos Níveis Mínimos de Serviço Exigidos pelo Banco implicará a aplicação dos percentuais de desconto dos valores remuneratórios, calculados sobre os valores a serem faturados no mês.
10.1.7 A reincidência injustificada do não atendimento dos Níveis Mínimos de Serviço Exigidos pelo Banco poderá implicar a aplicação das sanções previstas contratualmente.
10.2) Das sanções Administrativas e multas contratuais.
10.2.1) Além das infrações administrativas previstas em edital, nos termos da Lei nº 13.303/16 e do RLBB, o proponente ficará sujeito, sem prejuízo da responsabilidade civil e criminal, às seguintes sanções:
Utilizar os percentuais de multa estabelecidos na minuta padrão de contrato.
Utilizar os percentuais de multa abaixo:
#Pública
Multa moratória de % ( por cento) por dia de atraso injustificado
sobre o valor da parcela inadimplida, até o limite de ( ) dias;
Multa compensatória de % ( por cento) sobre o valor total do
contrato, no caso de inexecução total do objeto;
Em caso de inexecução parcial, a multa compensatória, no mesmo percentual do subitem acima, será aplicada de forma proporcional à obrigação inadimplida;
10.3) Definições do modelo de execução do contrato:
10.3.1) Rotinas de execução:
Prazos de fornecimento ou execução dos serviços | 24 (vinte e quatro) meses prorrogáveis por até 60 (sessenta) meses. |
Horário de fornecimento dos bens ou prestação dos serviços | 24x7 (24 horas por dia, sete dias na semana). |
Local(is) de entrega Prefixo: Nome da dependência: CNPJ: Endereço: Quantidade: | Não se aplica. |
Local(is) da prestação de serviço Prefixo: Nome da dependência: CNPJ: Endereço: | 1. Prefixo: 9548. Nome da dependência: UCF/Cyber. CNPJ: 00.000.000/0001-91. Endereço: XXX 000 Xxxxxxxx X, Xxxx XX Xxxxxx, 00000-000 Xxxxxxxx/XX. 2. A prestação dos serviços de monitoração de SOC N1 deverá ser executado em ambiente próprio do proponente. |
10.3.2) Documentos e relatórios a serem apresentados durante a vigência do contrato.
#Pública
10.3.2.1. O Proponente fornecerá periodicamente e/ou sempre que o Banco solicitar, relatórios e sumários executivos, relatando as atividades executadas, por tipo de serviço.
10.3.3) Obrigações do Banco do Brasil, quando couber: Conforme consta neste documento.
10.3.4) obrigações do proponente, quando couber: Conforme consta neste documento.
10.4) Quantificação ou estimativa prévia do volume de serviços demandados ou quantidade mensal de bens a serem fornecidos, para comparação e controle.
Conforme gráfico abaixo, segue a estimativa prévia do volume de eventos conforme apurado no ano de 2020 no Banco do Brasil.
#Pública
Total 484.525.601 – Fazem parte desses eventos, os seguintes incidentes:
IPS Borda: Eventos Bloqueados por assinaturas habilitadas na solução
AntiSpam: Eventos detectados, bloqueados ou quarentenados pela solução, SPAM, PHISHING ou regras de acesso.
DDoS: Eventos Bloqueados pela solução de acordo com regras ou assinaturas de proteção Antivírus: Eventos Bloqueados/Detectados pela solução de com com regras definidas ou assinaturas de proteção.
10.5) Definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre o proponente e a Administração, adotando-se preferencialmente as Ordens de Serviço ou Fornecimento de Bens.
Serão utilizados preferencialmente o correio eletrônico ou telefone (território nacional). O proponente deverá fornecer o endereço eletrônico ou número do telefone, no momento da assinatura do contrato. O atendimento deverá ser em língua portuguesa (PT-BR).
10.6) Aspectos de Segurança:
#Pública
10.6.1 O proponente obriga-se por si, seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.
10.6.2 O proponente se obriga a revelar as informações decorrentes da contratação, exclusivamente, a seus prepostos e funcionários diretamente envolvidos nas atividades que fazem uso ou tenham acesso permanente ou eventual às mesmas.
10.6.3 O proponente se obriga, ainda, a respeitar integralmente as normas de segurança estabelecidas pelo Banco e atender os padrões de segurança e controle para acesso e uso das instalações e equipamentos do Banco, zelando por sua integridade, mantendo sigilo e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados, responsabilizando-se em caso de quebra de sigilo ou mau uso das informações obtidas por proponente ou preposto.
10.6.4 Acessos Físico e Lógico - O Banco do Brasil analisará a liberação dos acessos às dependências, equipamentos, softwares e sistemas que forem necessários ao cumprimento do objeto nos termos desta especificação.
10.6.5 Para tanto, o proponente deverá disponibilizar previamente as informações necessárias para acesso aos ambientes e atender às normas e políticas de segurança utilizadas pelo Banco do Brasil.
10.6.6 Adequação às Políticas de Segurança – o proponente deverá assegurar que seus empregados estejam cientes e que devem obedecer às políticas de segurança de informações e cibernéticas do Banco do Brasil e também de garantir adequação às políticas estabelecidas. O Banco do Brasil deverá atualizar o proponente sobre quaisquer alterações ocorridas nessas políticas.
10.6.7 Medidas de Segurança da Informação e dos Dados – o proponente irá gerenciar a segurança das informações e dados com os esforços necessários para restringir o acesso não autorizado. O proponente fará os esforços necessários para garantir que seus empregados e representantes estejam inteiramente cientes dos riscos associados com problemas e riscos inerentes à segurança da informação e cibernética.
10.6.8 Confidencialidade da Informação - Ambas as partes concordam em manter a confidencialidade de toda a informação a respeito dos negócios, ideias, produtos, clientes ou serviços da outra parte, que podem ser consideradas como “informação confidencial”.
10.6.9 A disponibilização de profissional para atendimento “on site” estará sujeita às políticas de Gestão de Segurança do Banco do Brasil S.A.
10.6.10 Os acessos às dependências e aos equipamentos do Banco do Brasil S.A. necessários para prestação dos serviços deverão obedecer às normas de segurança utilizadas pelo Banco do Brasil S.A.
#Pública
10.7) Acordo de nível de serviço ou Nível Mínimo de Serviço Exigido (NMSE):
Escopo das condições | 10.7.1 O Nível Mínimo de Serviço (NMSE) define os termos e as condições sob as quais o proponente deverá prover os serviços de monitoração do SOC N1. 10.7.2 O proponente assumirá a inteira responsabilidade pela execução dos serviços contratados e reconhece que o não cumprimento pode resultar em impacto adverso nos negócios e nas operações do Banco do Brasil. 10.7.3 O proponente deverá prestar os serviços descritos para a totalidade de atvidades relacionadas no Termo de Referência e nas condições estabelecidas neste documento. 10.7.4 O proponente ficará desobrigado do cumprimento das condições mínimas enquanto a prestação de serviços estiver prejudicada em função de impedimento ou retardo decorrente de responsabilidade comprovada do Banco. Esta desobrigação deverá ser comprovada mediante formalização entre o Banco e o proponente. |
Monitoramento e execução de atividades | 10.7.5 Para execução dos serviços aqui descritos, o proponente prestará em regime 24x7 (24 horas por dia e 7 dias por semana) por meio de monitoramento de solução fornecida pelo Banco do Brasil. 10.7.6 O proponente deverá oferecer pessoal suficiente para que não haja interrupção na monitoração das atividades. 10.7.7 O proponente deverá assegurar para melhor acompanhamento das atividades que mantenham controles, preferencialmente, contendo número identificador, com registro de data e hora, com histórico e respectivas atualizações, se houver, que serão utilizados para cômputo na prestação dos serviços. 10.7.8 As atividades de monitoramento consistem em: 10.7.8.1 Análise e avaliação dos eventos de segurança cibernética; 10.7.8.2 Realizar tratamento dos eventos quanto a criticidade e escalar os que se fizerem necessários; 10.7.8.3 Realizar a gestão de vulnerabilidades e incidentes cibernéticos com a abertura de tickets; 10.7.9 As atividades de monitoramento vão requerer desempenho personalizado e proativo. |
Atividade | Nivel Criticidade | Reação SOC N1 | Tratamento/ Escalonamento |
Monitoramento de alertas de segurança (qualquer evento de segurança) | Crítico | até 15 minutos | até 1 hora |
Alto | até 15 minutos | até 2 horas | |
Médio | até 30 minutos | até 3 horas | |
Baixo | até 60 minutos | até 4 horas | |
Vulnerabilidades | Crítico | até 15 minutos | até 1 hora |
Alto | até 15 minutos | até 2 horas | |
Médio | até 30 minutos | até 3 horas | |
Baixo | até 60 minutos | até 4 horas | |
Incidentes | Crítico | até 15 minutos | até 1 hora |
Alto | até 15 minutos | até 2 horas | |
Médio | até 30 minutos | até 3 horas | |
Baixo | até 60 minutos | até 4 horas |
#Pública
10.7.10 Os eventos serão tratados conforme sua criticidade e tempestividade na condução do monitoramento das atividades de SOC N1. A tabela abaixo tem a definição dos principais eventos com tempo de reação e tratamento. 10.7.11 A criticidade de um evento somente poderá ser alterada o seu nível atual (mais baixo ou mais alto, conforme o caso) desde que fundamentado e com o respectivo aceite do Banco do Brasil. | |||||||
Escalamento | 10.7.12 Para assegurar que o banco receberá atenção da alta gestão em incidentes não resolvidos, o proponente deverá operar com um procedimento de escalamento, a fim de que qualquer evento, incidente ou problema não resolvido seja notificado para o pessoal operacional N2 ou N3 e/ou de níveis superiores, conforme o caso, com prioridade definida por sua gravidade. 10.7.13 A tabela abaixo indica os prazos e os níveis hierárquicos que serão acionados no caso de persistência de violação de uma determinada meta. | ||||||
Criticidade | Nível | Tempo | Banco | Proponente | |||
Critico | 1 | 1 hora | Ger. de Equipe | De hierarquia equivalente, | |||
#Pública
2 | 3 horas | Ger. de Soluções | a ser indicado pelo proponente. | ||||
3 | 12 horas | Ger. Executivo | |||||
Alto | 1 | 6 horas | Ger. de Equipe | ||||
2 | 12 horas | Ger. de Soluções | |||||
3 | 24 horas | Ger. Executivo | |||||
Médio/Baixo | 1 | 3 dias | Ger. de Equipe | ||||
2 | 5 dias | Ger. de Soluções | |||||
10.7.14 O escalamento deve ocorrer automaticamente tanto no Banco quanto no proponente. | |||||||
Relatórios de monitoramento de eventos | 10.7.15 O proponente deverá utilizar ferramentas e procedimentos de avaliação e monitoração capazes de avaliar e reportar o desempenho das atividades executadas, disponibilizando ao Banco do Brasil relatórios com informações gerenciais e de acompanhamento do monitoramento dos eventos de segurança. 10.7.16 O formato do relatório deverá ser definido entre o proponente e o Banco do Brasil, e deverá prover, no mínimo, as seguintes informações: a. Número de abertura do ticket; b. Data e hora de abertura/reabertura do ticket; c. Data e hora do início da análise e avaliação do ticket; d. Data e hora da aplicação da solução; e. Data e hora do fechamento do ticket; f. Nível de criticidade; g. Descrição do evento; h. Descrição da solução; i. Tempo de atendimento. 10.7.17 Outros formatos de relatório dos serviços prestados poderão ser solicitados, conforme necessidade do Banco. 10.7.18 A não apresentação dos relatórios por parte do | ||||||
#Pública
proponente a sujeitará às sanções previstas. | |
Periodicidade de Medição | Mensal, por evento. |
Meta | Conforme definido no item - Monitoramento e execução de atividades |
Os descontos serão apurados mensalmente e aplicados sobre o valor total da fatura do mês seguinte. | |
Para aferição do valor de desconto deverão ser considerados a quantidade de descumprimento das metas de “Reação SOC N1” e do “Tratamento / Escalonamento”. | |
Desconto da fatura mensal | A responsabilidade pela apuração do descumprimento do SLA é do proponente, sob validação do Banco do Brasil. |
Evento de quebra Persistência de Criticidade da meta (hora ou quebra (hora ou fração) fração) Critico 0,5 % 0,25% Alto 0,3 % 0,15% Médio/Baixo 0,1 % 0,05% |