RFP – REQUEST FOR PROPOSAL

Diretoria de Crédito Brasília, abril de 2022

RFP – REQUEST FOR PROPOSAL

OBJETO

Contratação de serviços na atividade de planilhamento de dados de demonstrativos contábeis, identificando, extraindo, interpretando as informações dos documentos e disponibilizando os dados consolidados no padrão do Plano de Contas do Banco do Brasil.

IMPORTANTE

 O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.

Etapa	Data
Publicação	02/05/2022
Recebimento de dúvidas	13/05/2022
Esclarecimento de dúvidas	20/05/2022
Recebimento da Resposta	30/05/2022

 As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico xxxxx.xxxxxxxxxxx@xx.xxx.xx, sob o título: RFP – PLANILHAMENTO DE DADOS CONTÁBEIS – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.

 A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para o endereço eletrônico citado acima, sob o título: RFP – PLANILHAMENTO DE DADOS CONTÁBEIS – RESPOSTA, juntamente com a planilha de Precificação, comprovantes de capacidade técnica e qualquer documentação adicional julgada necessária.

 A Proposta Comercial deverá apresentar preços com base/formato da tabela apresentada no item nº 3.6 deste documento.

1. Introdução

1.1. O objetivo da presente consulta é identificar empresas especializadas na prestação de serviços de planilhamento de dados de demonstrativos contábeis, visando ganhos de eficiência para o BB no processo de análise de crédito PJ.

1.2. Esta consulta não constitui compromisso de contrato de serviços entre o Banco do Brasil S. A. e o fornecedor.

1.3. O fornecedor não deve cobrar qualquer valor, mesmo que a título de compensação de despesas, pela submissão de respostas, demonstrações, discussões ou por qualquer outro motivo decorrente desta RFP. O fornecedor é responsável por todo e qualquer custo ou despesa decorrentes do cumprimento desta RFP.

1.4. O Banco do Brasil S. A. reserva-se o direito de aceitar ou rejeitar qualquer ou todas as respostas a esta RFP e entrar em discussões e/ou negociações com um ou mais fornecedores qualificados ao mesmo tempo.

1.5. O Banco do Brasil S. A. reserva-se o direito de solicitar uma oferta final aos fornecedores que responderem a esta RFP.

2. Objeto.

2.1. Contratação de serviços na atividade de planilhamento de dados de demonstrativos contábeis (Balanço Patrimonial ou Balancete (Ativo e Passivo) e Demonstrativo do Resultado do Exercício), identificando, extraindo, interpretando as informações dos documentos e disponibilizando os dados consolidados no padrão do Plano de Contas do Banco do Brasil, conforme condições e exigências estabelecidas neste documento.

3. Especificações técnicas e condições de prestação dos serviços.

3.1. Especificações Técnicas e Condições Gerais

3.1.1. O objeto compreende em um serviço capaz de:

3.1.1.1. Disponibilizar meio eletrônico capaz de fazer upload de demonstrativos contábeis para o ambiente (plataforma) do fornecedor onde será prestado o serviço;

3.1.1.2. Extrair os dados dos documentos de toda e qualquer imagem e informação que seja legível;

3.1.1.3. Planilhar demonstrativos contábeis em português do Brasil, auditados, não auditados, publicados ou não publicados, apresentados pelo BB;

3.1.1.4. Realizar validações dos valores planilhados de acordo com as Normas Brasileiras de Contabilidade vigentes.

3.1.1.5. Exportar os dados planilhados, por exercício, por meio eletrônico, em modelos pré-definidos pelo BB, no formato de arquivo separado por vírgulas (csv) e/ou banco de dados;

3.1.1.6. Utilizar uma solução tecnológica para prestação do serviço, com uso de Inteligência Artificial, permitindo ganho de escala no atendimento;

3.1.1.6.1. Armazenar o registro (log) de todas as transações realizadas com, no mínimo, as informações sobre o CNPJ da empresa planilhada, data e hora, identificação do usuário e do IP utilizado;

3.1.1.6.2. Permitir consulta do registro (log) por faixa de período;

3.1.1.6.3. As informações do histórico do registro deverão permanecer disponíveis por 2 anos;

3.1.1.6.4. Garantir o não armazenamento das imagens e dados capturados em bases internas da CONTRATADA, após prestação do serviço;

3.1.1.6.5. A CONTRATADA deverá arcar com os custos de manutenção e parametrização da solução.

3.1.1.7. Disponibilizar módulo gerencial para controle do fluxo dos demonstrativos contábeis, indicando quais estão sendo processados, editados ou foram concluídos, de forma a identificar a etapa de serviço que cada documento se encontra;

3.1.1.7.1. No módulo gerencial, disponibilizar funcionalidade de gestão de acesso pelo BB, no qual seja possível a inclusão, exclusão e alteração dos funcionários do Banco que irão operacionalizar a solução;

3.1.1.7.2. No módulo gerencial, apresentar os demonstrativos contábeis organizados com a identificação de previsão de conclusão do serviço.

3.1.1.8. Disponibilizar um painel de gestão do processo de planilhamento de demonstrativos contábeis (dashboard), apresentando indicadores e métricas dos spreads de maneira centralizada. Por meio do dashboard o usuário pode verificar a

performance do serviço, quantidades de documentos processados e a fila de processamento, tais como:

3.1.1.8.1. Separação por tipo de documento;

3.1.1.8.2. Média mensal;

3.1.1.8.3. Quantidade total no mês;

3.1.1.8.4. Tempo de aprovação de documentos;

3.1.1.8.5. Status dos documentos;

3.1.1.8.6. Evolução temporal do processamento e aprovação de documentos.

3.1.1.9. Permitir a gestão de consumo das franquias (bilhetagem).

3.1.1.9.1. Não haverá franquia mínima de consumo para os serviços discriminados no Objeto.

3.1.1.10. Informar os motivos para o não processamento de algum dos documentos.

3.1.2. A empresa CONTRATADA deverá ter pleno conhecimento e dar ciência aos prestadores de serviços alocados na execução das atividades objeto do contrato sobre qualquer instrumento legal e normativo relacionados ao Objeto, bem como de suas alterações, sendo de responsabilidade da CONTRATADA providenciar os ajustes pertinentes com vistas ao pleno atendimento das definições propostas pelos órgãos legisladores.

3.1.3. A CONTRATADA deve informar imediatamente ao CONTRATANTE sobre qualquer auditoria regulatória, sua finalidade e como ela se relaciona com os serviços prestados ao CONTRATANTE.

3.1.4. A CONTRATADA deve informar ao CONTRATANTE caso sejam contatados por um órgão regulador e se o propósito desse contato pode estar relacionado com/ou afetar os serviços prestados à CONTRATANTE.

3.2. Acordo de Nível de Serviço

3.2.1. A CONTRATADA deverá disponibilizar preposto para atendimento de demandas relacionadas ao serviço.

3.2.2. O preposto deverá orientar, coordenar e acompanhar toda implementação do serviço, além de resolver quaisquer questões pertinentes à execução do objeto contratual, para correção de situações adversas e para o atendimento imediato das reclamações e solicitações do CONTRATANTE, conforme SLA definido.

3.2.3. Os serviços devem estar disponíveis e responder com a recepção, o tratamento e a devolução dos dados planilhados conforme SLA a seguir:

Critério

Disponibilidade

Tempo de resposta

Taxa de acerto no planilhamento

Revisão do tratamento

SLA

Segunda a sexta- feira

de 08h00 às 19h00

Até 5 horas úteis

99% das classificações das contas no padrão BB

Até 2 horas úteis

3.2.4. A prestação do serviço fora dos níveis mínimos de serviço sujeitará à CONTRATADA a aplicação das penalidades previstas no contrato.

3.2.5. Deverão ser auferidos os níveis de serviço, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal.

3.2.6. As falhas detectadas no processo ou nas informações recebidas que sejam de responsabilidade da empresa prestadora do serviço podem ser apontadas a qualquer momento da vigência do contrato, devendo a CONTRATADA solucionar o problema, em até vinte e quatro horas, contadas a partir da comunicação do problema pelo CONTRATANTE.

3.2.7. A CONTRATADA deverá estruturar-se de modo compatível e prover toda a infraestrutura necessária à prestação dos serviços previstos, com a qualidade e rigor exigidos, garantindo a sua supervisão desde a implantação.

3.2.8. A CONTRATADA deverá prover todos os meios necessários à garantia da prestação dos serviços, inclusive nos casos de greve ou paralisação de qualquer natureza.

3.2.9. A CONTRATADA deverá executar, perfeito e integralmente, os serviços contratados, nos horários estabelecidos e prazos definidos pelo CONTRATANTE, por meio de pessoas idôneas e tecnicamente capacitadas, responsabilizando-se por quaisquer prejuízos que suas falhas ou imperfeições venham causar ao CONTRATANTE ou a terceiros, além de realizar novamente o serviço incorreto, se for o caso, sem quaisquer ônus.

3.2.10. A CONTRATADA deverá substituir os empregados nos casos de falta, ausência legal, férias, bem como nos casos em que a conduta do prestador seja considerada inconveniente pelo CONTRATANTE, de modo que os serviços não sejam descontinuados nos horários/períodos estabelecidos.

Suporte Técnico

3.2.11. O suporte técnico será de responsabilidade da CONTRATADA e deverá estar apto a atender o CONTRATANTE nas seguintes questões:

3.2.11.1. Esclarecimento de dúvidas e resoluções de problemas relativos ao serviço contratado;

3.2.11.2. Prestação de informações técnicas específica, inclusive diretamente com o corpo técnico;

3.2.11.3. Orientação na instalação, reinstalação e configuração dos componentes da solução;

3.2.11.4. O suporte técnico e a documentação deverão ser feitos em língua Português do Brasil.

3.2.12. O suporte técnico da CONTRATADA deverá estar disponível para contato nos dias úteis, por telefone ou e-mail, no período compreendido entre 08h00 e 19h00, para casos de criticidade Muito Baixa e Baixa, e as soluções aos problemas apontados deverão ser apresentadas em um dia útil, contados a partir da solicitação pelo CONTRATANTE.

3.2.13. O suporte técnico da CONTRATADA deverá estar disponível para contato sete dias da semana, por telefone ou e-mail, no período de 24h, para casos de criticidade Relevante, Alta e Muito Alta, e as soluções aos problemas apontados deverão ser apresentadas em até 10h, contados a partir da solicitação pelo CONTRATANTE.

3.2.14. O Acordo de Nível de Serviços referente aos chamados abertos pelo CONTRATANTE deverá ser atendido, conforme detalhamento abaixo:

Criticidade	SLA – 1º Atendimento (h)	SLA – Solução (h)	Atendimento	Meta
Muito Baixa	3	72	08h às 19h	85%
Baixa	3	24	08h às 19h	90%
Relevante	2	10	24h x 07dias	95%
Alta	2	8	24h x 07dias	98%
Muito Alta	1	6	24h x 07dias	100%

3.2.15. Para os casos do item anterior, deverá ser indicado um responsável para prestação do serviço de suporte técnico, que será acionado em casos emergenciais.

3.2.16. Deverão ser auferidos os níveis de serviço referente aos chamados abertos, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal.

3.3. Aspectos de Segurança

3.3.1. A CONTRATADA será responsável por garantir a disponibilidade, confidencialidade, autenticidade e integridade dos dados disponibilizados pela CONTRATANTE.

3.3.2. As interfaces de comunicação dos ambientes da plataforma com o CONTRATANTE devem implementar métodos criptográficos para garantia da confidencialidade e da autenticidade da comunicação.

3.3.3. A CONTRATADA deve identificar e corrigir quaisquer problemas de segurança em sua plataforma, sem qualquer custo adicional para o CONTRATANTE.

3.3.4. A CONTRATADA deve guardar o mais completo e absoluto SIGILO por si, por seus diretores, empregados, subcontratados e prepostos, em relação aos dados, informações ou documentos de qualquer natureza referentes ao CONTRATANTE, exibidos, manuseados, ou que por qualquer forma ou modo venham tomar conhecimento, em razão dos serviços ora contratados, ficando, portanto, por força de lei, civil e criminalmente, responsáveis por sua indevida divulgação, descuidada ou incorreta utilização, sem prejuízo da responsabilidade por perdas e danos a que deram causa e das cominações contratuais impostas.

3.3.5. A CONTRATADA deverá ter instrumentos auditáveis para verificar procedimentos seguros que não permitam revelar, reproduzir, utilizar ou dar conhecimento, em hipótese alguma, a terceiros, bem como a não permitir que nenhum de seus empregados e/ou prepostos faça uso dos dados ou informações provenientes dos resultados dos serviços discriminados no Objeto.

3.3.6. A CONTRATADA deve apresentar ao CONTRATANTE, sempre que solicitado, toda e qualquer informação e documentação que comprovem a implementação dos requisitos de segurança especificados na contratação, de forma a assegurar a auditabilidade do objeto contratado, bem como demais dispositivos legais aplicáveis.

3.3.7. A CONTRATADA deve fornecer os subsídios necessários para que o CONTRATANTE implemente os indicadores de desempenho de segurança que vierem a ser definidos durante a vigência do contrato.

3.3.8. Caso seja utilizado o serviço de computação em nuvem pela CONTRATADA, para soluções SaaS (Software as a Service), esta deverá atender aos requisitos do tópico a seguir.

Segurança em Ambiente para Computação em Nuvem (Cloud Computing)

3.3.9. A CONTRATADA deve garantir que os dados do Objeto serão recepcionados, tratados, processados e disponibilizados exclusivamente em território brasileiro.

3.3.10. A solução deverá estar aderente à legislação brasileira, principalmente quanto a aderência da CONTRATANTE à Resolução 4.893 de 26/02/2021.

3.3.11. A CONTRATADA deverá cumprir o disposto na Política de Segurança da Informação para Parceiros e Fornecedores, disponível em xxx.xx.xxx.xx/xxx .

3.3.12. A solução deverá possuir recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria.

3.3.13. A solução deverá possuir os seguintes requisitos de segurança de Infraestrutura de TI:

3.3.13.1. Proteção contra ataques distribuídos por Negação de serviço (DDOS);

3.3.13.2. Solução de firewall, contemplando ao menos, controle de aplicação (aplication control), identificação de usuário, filtro de URL e controle de políticas de acesso;

3.3.13.3. Solução de firewall dedicado à proteção de ambiente virtualizado;

3.3.13.4. Sistema de prevenção à Intrusão (IPS), mecanismo que possa responder a ataques em tempo real, bloqueando os pacotes considerados maliciosos e Ameaças Persistentes Avançadas;

3.3.13.5. Solução de antivírus para servidores físicos e virtualizados;

3.3.13.6. Procedimentos de gerenciamento de vulnerabilidades e aplicação de patches de segurança.

3.3.14. Quanto a ataques cibernéticos a CONTRATADA deve:

3.3.14.1. Possuir mecanismos de proteção contra ataques cibernéticos;

3.3.14.2. Descrever os canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados, para reportar tempestivamente os incidentes que ocorram em suas instalações, independente de afetar ou não, arquivos e sistemas do CONTRATANTE;

3.3.14.3. Demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno, quando aos contatos com cliente e mídia;

3.3.14.4. Estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes UCF/SOC do CONTRATANTE para acionamento em caso de ataques cibernéticos.

3.3.15. A solução deve permitir a customização de relatórios gerenciais de segurança de acordo com o formato a ser requisitado pelo CONTRATANTE.

Controles Criptográficos

3.3.16. A CONTRATADA deve implementar e manter controles criptográficos para armazenamento, tráfego e tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da informação definido pelo CONTRATANTE.

3.3.17. A CONTRATADA deve permitir recursos para trilha de auditoria, permitindo visualizar quem usou determinada chave para acessar um objeto, qual objeto foi acessado, quando ocorreu esse acesso e qual endereço de origem do acesso.

3.3.18. A CONTRATADA deve permitir visualizar ou gerar relatório, a critério do CONTRATANTE, de tentativas malsucedidas de acesso por usuários sem permissão para decifrar os dados.

3.3.19. A CONTRATADA deve permitir que os usuários criptografem seus dados e objetos antes de enviá-los para o serviço de armazenamento.

3.3.20. A CONTRATADA deverá possibilitar comunicação criptografada e protegida para transferência de dados.

3.3.21. A CONTRATADA deve tratar com rigor as informações sigilosas, não podendo ser usadas ou fornecidas a terceiros, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.

3.3.22. A CONTRATADA deverá assinar Termo de Confidencialidade resguardando que os recursos, dados e informações de propriedade do CONTRATANTE, e quaisquer outros, repassados por força do objeto, constituem informação privilegiada e possuem caráter de confidencialidade.

3.3.23. Os dados, metadados, informações e conhecimento tratados pela CONTRATADA, não poderão ser fornecidos a terceiros e/ou usados por esta para fins diversos do previsto, sob nenhuma hipótese, sem autorização formal do CONTRATANTE.

3.3.24. A CONTRATADA obriga-se, por seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações

ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados.

Gestão de Incidentes de Segurança

3.3.25. A CONTRATADA deve possuir um processo de Gestão de Incidentes que registre os incidentes de segurança cibernética ocorridos e que guarde informações como: a descrição dos incidentes ou eventos, as informações e sistemas envolvidos, as medidas técnicas e de segurança utilizadas para a proteção das informações, os riscos relacionados ao incidente e às medidas tomadas para mitigá-los e evitar reincidências.

3.3.26. O processo de Gestão de Incidentes também deve implementar e manter controles e procedimentos específicos para detecção, tratamento, coleta/preservação de evidências e resposta a incidentes de segurança da informação, de forma a reduzir o nível de risco ao qual o objeto do contrato ou o CONTRATANTE estão expostos.

3.3.27. A CONTRATADA deve implementar um processo de gestão de vulnerabilidades que inclua sua infraestrutura de servidores e redes.

3.3.28. Todos os relatórios com os resultados dos testes de penetração e varredura de vulnerabilidades, bem como o planejamento das correções a serem feitas, devem ser fornecidos ao CONTRATANTE sempre que solicitado.

3.3.29. A CONTRATADA deve ter um processo de notificação de incidentes 24hx7dias.

3.3.30. No caminho inverso, se o CONTRATANTE detectar um incidente de segurança, a CONTRATADA será notificada e deverá cooperar totalmente para resolver o incidente de segurança, fornecendo todas as informações relacionadas que possam levar a solução do incidente em questão (24hx7dias).

3.3.31. A CONTRATADA deve documentar os casos de uso que são utilizados para realizar a configuração e o monitoramento de eventos, correlacionando tecnologias para tratar padrões/cenários de ataque comuns e avançados; e disponibilizar os casos de uso ao CONTRATANTE sempre que solicitado.

3.3.32. A CONTRATADA deve ter um processo de lições aprendidas para incidentes de segurança implementado e comunicado aos seus funcionários e parceiros, com objetivo de agilizar a atuação caso surjam incidentes semelhantes.

3.3.33. A integração da gestão de incidentes da CONTRATADA com o Centro de Operações de Segurança do CONTRATANTE deve ser considerada,

observada a regulamentação em vigor, conforme art 3º, §4º da Res. BACEN 4.893/2021.

3.3.34. Se a CONTRATADA precisar envolver outras partes externas para investigar e/ou resolver incidentes que afetem o escopo do Objeto, ela deve obter a anuência do CONTRATANTE por escrito antes de iniciar o contato com tais partes, observada a política de segurança cibernética do CONTRATANTE.

Continuidade de Negócios e Recuperação de Desastres

3.3.35. A CONTRATADA deve possuir plano de continuidade, recuperação de desastres e contingência de negócio, que possa ser testado regularmente, objetivando a disponibilidade dos dados e serviços em caso de interrupção, bem como desenvolver e colocar em prática procedimentos de respostas a incidentes relacionados com os serviços.

3.3.36. O referido plano de continuidade deverá ser informado para o CONTRATANTE como parte das ações de acompanhamento do contrato, e deverá ser atualizado e testado anualmente, ou em qualquer mudança significativa do ambiente.

3.3.37. A atuação, em caráter de contingência, causada por uma eventual indisponibilidade do serviço prestado, considera as seguintes premissas:

3.3.37.1. Interrupção total ou parcial dos serviços;

3.3.37.2. Ter infraestrutura alternativa: física e lógica em local distante do ambiente central de produção, com o objetivo de minimizar o risco de perda de ambas as instâncias;

3.3.37.3. Manter os serviços essenciais suportados pelo contrato;

3.3.37.4. Manter a lista de integrantes das equipes e o Plano de Recuperação de Desastres atualizados;

3.3.37.5. Ter local seguro para guarda de backups fora do local atingido;

3.3.37.6. Assegurar a disponibilidade dos serviços essenciais dentro do tempo previsto para recuperação do serviço, de acordo com o contrato;

3.3.37.7. Procedimento documentado e evidenciado de testes das mídias armazenadas offsite;

3.3.37.8. Cópias de todos os procedimentos abordando backup, restauração e reconstituição de armazenamento de dados.

3.3.38. O plano de continuidade deve possuir os seguintes elementos em sua composição:

3.3.38.1. Identificação do serviço suportado pelo contrato;

3.3.38.2. A forma de conectividade usada e os direitos de acesso;

3.3.38.3. A arquitetura do ambiente de produção;

3.3.38.4. As interfaces de aplicações e suas dependências;

3.3.38.5. O SLA contratado e os limites suportados para interrupção;

3.3.38.6. A forma de replicação dos dados com o site alternativo;

3.3.38.7. Procedimentos adotados para recuperação de desastres;

3.3.38.8. Lista de contatos das equipes responsáveis pelo restabelecimento do serviço, divididos por tipos de atividades executadas.

3.3.39. A obrigatoriedade do plano de continuidade se estende para empresas provedoras de informações que fornecem insumos à CONTRATADA.

3.3.40. A CONTRATADA deve considerar, como parte do plano de continuidade, os diferentes ambientes de risco e o grau de mitigação de riscos necessários para proteger a Instituição, caso seja necessário colocar o plano em prática.

3.3.41. A avaliação de riscos e dos processos críticos devem levar em consideração instrumentos específicos, como um BIA – Business Impact Analysis.

3.3.42. A CONTRATADA, visando a continuidade dos negócios, deve implantar uma política de backup.

Política de Backup

3.3.43. A CONTRATADA deve possuir e implementar política de backup das informações transacionais e dos registros de log associados ao Objeto, em conformidade com os dispositivos legais aplicáveis.

3.3.44. A política de backup deve assegurar a manutenção de cópias de segurança de todos os componentes de software dos sistemas, de suas bases de dados e da documentação associada, observando a técnica e os cuidados requeridos para cada caso, de modo a ser possível a plena recuperação de versões dos sistemas e dados salvaguardados em caso de falha, ou por solicitação do CONTRATANTE.

3.3.45. A CONTRATADA deve prover pelo menos um site de armazenamento alternativo – e geograficamente distinto - como parte de sua política de

backup, permitindo o armazenamento e a recuperação da informação sempre que necessário e de acordo com os requisitos definidos em Continuidade de Negócios e Recuperação de Desastres.

3.3.46. A CONTRATADA deve garantir que o site de armazenamento alternativo conte com os mesmos controles de segurança do site de armazenamento primário.

Encerramento do Contrato

3.3.47. A CONTRATADA deve garantir que todos os dados - incluindo chaves criptográficas e os backups armazenados e que não sejam mais necessários na execução do Contrato - serão descartados de acordo com os padrões do mercado, de maneira que os requisitos de confidencialidade não sejam violados.

3.3.48. A CONTRATADA deve reter os dados transacionais e de log por até 180 dias para a migração para ambiente interno ou outro fornecedor indicado pelo CONTRATANTE.

3.3.49. Os dados, após transferência e validação da integridade, devem ser excluídos pelo antigo fornecedor.

3.3.50. A exclusão dos dados após o término do contrato e o período de retenção de 180 dias deve obedecer aos padrões definidos no NIST SP 800-88 Guidelines for Media Sanitization, com fornecimento de relatório para o CONTRATANTE certificando a conformidade dos processos realizados com a norma indicada.

3.4. Treinamento

3.4.1. A empresa CONTRATADA deverá fornecer treinamento da plataforma utilizada pela empresa CONTRATANTE.

3.4.2. Os custos do treinamento estarão a cargo da CONTRATADA.

3.4.3. O treinamento para os usuários do sistema deve abordar, no mínimo, os seguintes tópicos:

3.4.3.1. Upload e processamento de demonstrativos contábeis;

3.4.3.2. Configuração de APIs de comunicação para entrada e saída dos documentos;

3.4.3.3. Configuração do plano de contas inicial do cliente;

3.4.3.4. Testes de integração e extração de dados (via arquivos);

3.4.3.5. Operacionalização do módulo gerencial;

3.4.3.6. Visualização de dashboards;

3.4.3.7. Integrações diversas.

3.5. Definições

3.5.1. Demonstrativo Contábil: o conjunto do Balanço Patrimonial ou Balancete (Ativo e Passivo) e Demonstrativo do Resultado do Exercício.

3.5.2. Unidade de Cobrança:

3.5.2.1. Será considerado um planilhamento a extração das contas não estruturadas de um documento para um formato estruturado.

3.5.2.2. Será considerada uma unidade cobrança o planilhamento, por exercício, das contas constantes em um demonstrativo contábil de um CNPJ.

3.5.3. A remuneração pelo serviço será realizada mensalmente com base na quantidade de unidades de cobrança executadas pela CONTRATADA.

3.6. Proposta

3.6.1. Informações que deverão constar da carta proposta:

3.6.1.1. Na proposta comercial deverá constar a seguinte tabela para o item de serviço considerando as faixas por quantidades de planilhamento mensais e deverá ser preenchida no que couber:

Itens Faturáveis	Faixas de consumo		Valor Unitário R$
Itens Faturáveis	De	Até	Valor Unitário R$
Planilhamento de um exercício do demonstrativo contábil de um CNPJ	01	1.999
	2.000	3.999
	4.000	5.999
	6.000	9.000
	Acima de 9.000

4. Capacidade técnica

4.1. A resposta do fornecedor a esta consulta deve conter ainda comprovação de que executa ou executou serviços de natureza semelhante aos indicados no objeto desta consulta.

4.2. A comprovação será feita por meio de atestado(s) fornecido(s) por empresa(s) de direito público ou privado, preferencialmente emitidos por outras instituições financeiras, sendo desejável apresentação de pelo menos três atestados.

Document Metadata

Table of Contents

RFP – REQUEST FOR PROPOSAL

Document Metadata

RFP – REQUEST FOR PROPOSAL

Diretoria de Crédito Brasília, abril de 2022

RFP – REQUEST FOR PROPOSAL

OBJETO

1. Introdução

1.1. O objetivo da presente consulta é identificar empresas especializadas na prestação de serviços de planilhamento de dados de demonstrativos contábeis, visando ganhos de eficiência para o BB no processo de análise de crédito PJ.

1.2. Esta consulta não constitui compromisso de contrato de serviços entre o Banco do Brasil S. A. e o fornecedor.

1.4. O Banco do Brasil S. A. reserva-se o direito de aceitar ou rejeitar qualquer ou todas as respostas a esta RFP e entrar em discussões e/ou negociações com um ou mais fornecedores qualificados ao mesmo tempo.

1.5. O Banco do Brasil S. A. reserva-se o direito de solicitar uma oferta final aos fornecedores que responderem a esta RFP.

2. Objeto.

3. Especificações técnicas e condições de prestação dos serviços.

3.1. Especificações Técnicas e Condições Gerais

3.1.1. O objeto compreende em um serviço capaz de:

3.1.1.2. Extrair os dados dos documentos de toda e qualquer imagem e informação que seja legível;

3.1.1.3. Planilhar demonstrativos contábeis em português do Brasil, auditados, não auditados, publicados ou não publicados, apresentados pelo BB;

3.1.1.4. Realizar validações dos valores planilhados de acordo com as Normas Brasileiras de Contabilidade vigentes.

3.1.1.5. Exportar os dados planilhados, por exercício, por meio eletrônico, em modelos pré-definidos pelo BB, no formato de arquivo separado por vírgulas (csv) e/ou banco de dados;

3.1.1.6. Utilizar uma solução tecnológica para prestação do serviço, com uso de Inteligência Artificial, permitindo ganho de escala no atendimento;

3.1.1.6.1. Armazenar o registro (log) de todas as transações realizadas com, no mínimo, as informações sobre o CNPJ da empresa planilhada, data e hora, identificação do usuário e do IP utilizado;

3.1.1.6.2. Permitir consulta do registro (log) por faixa de período;

3.1.1.6.3. As informações do histórico do registro deverão permanecer disponíveis por 2 anos;

3.1.1.6.4. Garantir o não armazenamento das imagens e dados capturados em bases internas da CONTRATADA, após prestação do serviço;

3.1.1.6.5. A CONTRATADA deverá arcar com os custos de manutenção e parametrização da solução.

3.1.1.7. Disponibilizar módulo gerencial para controle do fluxo dos demonstrativos contábeis, indicando quais estão sendo processados, editados ou foram concluídos, de forma a identificar a etapa de serviço que cada documento se encontra;

3.1.1.7.1. No módulo gerencial, disponibilizar funcionalidade de gestão de acesso pelo BB, no qual seja possível a inclusão, exclusão e alteração dos funcionários do Banco que irão operacionalizar a solução;

3.1.1.7.2. No módulo gerencial, apresentar os demonstrativos contábeis organizados com a identificação de previsão de conclusão do serviço.

3.1.1.8.1. Separação por tipo de documento;

3.1.1.8.2. Média mensal;

3.1.1.8.3. Quantidade total no mês;

3.1.1.8.4. Tempo de aprovação de documentos;

3.1.1.8.5. Status dos documentos;

3.1.1.8.6. Evolução temporal do processamento e aprovação de documentos.

3.1.1.9. Permitir a gestão de consumo das franquias (bilhetagem).

3.1.1.9.1. Não haverá franquia mínima de consumo para os serviços discriminados no Objeto.

3.1.1.10. Informar os motivos para o não processamento de algum dos documentos.

3.1.3. A CONTRATADA deve informar imediatamente ao CONTRATANTE sobre qualquer auditoria regulatória, sua finalidade e como ela se relaciona com os serviços prestados ao CONTRATANTE.

3.1.4. A CONTRATADA deve informar ao CONTRATANTE caso sejam contatados por um órgão regulador e se o propósito desse contato pode estar relacionado com/ou afetar os serviços prestados à CONTRATANTE.

3.2. Acordo de Nível de Serviço

3.2.1. A CONTRATADA deverá disponibilizar preposto para atendimento de demandas relacionadas ao serviço.

3.2.3. Os serviços devem estar disponíveis e responder com a recepção, o tratamento e a devolução dos dados planilhados conforme SLA a seguir:

3.2.4. A prestação do serviço fora dos níveis mínimos de serviço sujeitará à CONTRATADA a aplicação das penalidades previstas no contrato.

3.2.5. Deverão ser auferidos os níveis de serviço, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal.

3.2.7. A CONTRATADA deverá estruturar-se de modo compatível e prover toda a infraestrutura necessária à prestação dos serviços previstos, com a qualidade e rigor exigidos, garantindo a sua supervisão desde a implantação.

3.2.8. A CONTRATADA deverá prover todos os meios necessários à garantia da prestação dos serviços, inclusive nos casos de greve ou paralisação de qualquer natureza.

3.2.10. A CONTRATADA deverá substituir os empregados nos casos de falta, ausência legal, férias, bem como nos casos em que a conduta do prestador seja considerada inconveniente pelo CONTRATANTE, de modo que os serviços não sejam descontinuados nos horários/períodos estabelecidos.

Suporte Técnico

3.2.11. O suporte técnico será de responsabilidade da CONTRATADA e deverá estar apto a atender o CONTRATANTE nas seguintes questões:

3.2.11.1. Esclarecimento de dúvidas e resoluções de problemas relativos ao serviço contratado;

3.2.11.2. Prestação de informações técnicas específica, inclusive diretamente com o corpo técnico;

3.2.11.3. Orientação na instalação, reinstalação e configuração dos componentes da solução;

3.2.11.4. O suporte técnico e a documentação deverão ser feitos em língua Português do Brasil.

3.2.14. O Acordo de Nível de Serviços referente aos chamados abertos pelo CONTRATANTE deverá ser atendido, conforme detalhamento abaixo:

3.2.15. Para os casos do item anterior, deverá ser indicado um responsável para prestação do serviço de suporte técnico, que será acionado em casos emergenciais.

3.2.16. Deverão ser auferidos os níveis de serviço referente aos chamados abertos, mediante relatórios encaminhados pela CONTRATADA ao CONTRATANTE, com periodicidade mensal.

3.3. Aspectos de Segurança

3.3.1. A CONTRATADA será responsável por garantir a disponibilidade, confidencialidade, autenticidade e integridade dos dados disponibilizados pela CONTRATANTE.

3.3.2. As interfaces de comunicação dos ambientes da plataforma com o CONTRATANTE devem implementar métodos criptográficos para garantia da confidencialidade e da autenticidade da comunicação.

3.3.3. A CONTRATADA deve identificar e corrigir quaisquer problemas de segurança em sua plataforma, sem qualquer custo adicional para o CONTRATANTE.

3.3.7. A CONTRATADA deve fornecer os subsídios necessários para que o CONTRATANTE implemente os indicadores de desempenho de segurança que vierem a ser definidos durante a vigência do contrato.

3.3.8. Caso seja utilizado o serviço de computação em nuvem pela CONTRATADA, para soluções SaaS (Software as a Service), esta deverá atender aos requisitos do tópico a seguir.

Segurança em Ambiente para Computação em Nuvem (Cloud Computing)

3.3.9. A CONTRATADA deve garantir que os dados do Objeto serão recepcionados, tratados, processados e disponibilizados exclusivamente em território brasileiro.

3.3.10. A solução deverá estar aderente à legislação brasileira, principalmente quanto a aderência da CONTRATANTE à Resolução 4.893 de 26/02/2021.

3.3.11. A CONTRATADA deverá cumprir o disposto na Política de Segurança da Informação para Parceiros e Fornecedores, disponível em xxx.xx.xxx.xx/xxx.

3.3.12. A solução deverá possuir recursos de alta disponibilidade, além de sistemas para cópias de segurança, restauração de dados e auditoria.

3.3.13. A solução deverá possuir os seguintes requisitos de segurança de Infraestrutura de TI:

3.3.13.1. Proteção contra ataques distribuídos por Negação de serviço (DDOS);

3.3.13.4. Sistema de prevenção à Intrusão (IPS), mecanismo que possa responder a ataques em tempo real, bloqueando os pacotes considerados maliciosos e Ameaças Persistentes Avançadas;

3.3.13.5. Solução de antivírus para servidores físicos e virtualizados;

3.3.14. Quanto a ataques cibernéticos a CONTRATADA deve:

3.3.14.1. Possuir mecanismos de proteção contra ataques cibernéticos;

3.3.14.2. Descrever os canais de contato (pontos focais, meios de comunicação e tempo de resposta) que serão utilizados, para reportar tempestivamente os incidentes que ocorram em suas instalações, independente de afetar ou não, arquivos e sistemas do CONTRATANTE;

3.3.14.3. Demonstrar que possui procedimentos documentados e testados para resposta a incidentes, tanto no tratamento interno, quando aos contatos com cliente e mídia;

3.3.14.4. Estabelecer fluxo de acionamento e contato com a equipe de resposta a incidentes UCF/SOC do CONTRATANTE para acionamento em caso de ataques cibernéticos.

3.3.15. A solução deve permitir a customização de relatórios gerenciais de segurança de acordo com o formato a ser requisitado pelo CONTRATANTE.

Controles Criptográficos

3.3.16. A CONTRATADA deve implementar e manter controles criptográficos para armazenamento, tráfego e tratamento da informação, de acordo com o nível de criticidade e grau de sigilo da informação definido pelo CONTRATANTE.

3.3.17. A CONTRATADA deve permitir recursos para trilha de auditoria, permitindo visualizar quem usou determinada chave para acessar um objeto, qual objeto foi acessado, quando ocorreu esse acesso e qual endereço de origem do acesso.

3.3.18. A CONTRATADA deve permitir visualizar ou gerar relatório, a critério do CONTRATANTE, de tentativas malsucedidas de acesso por usuários sem permissão para decifrar os dados.

3.3.19. A CONTRATADA deve permitir que os usuários criptografem seus dados e objetos antes de enviá-los para o serviço de armazenamento.

3.3.11. A CONTRATADA deverá cumprir o disposto na Política de Segurança da Informação para Parceiros e Fornecedores, disponível em xxx.xx.xxx.xx/xxx .