RELATÓRIO DA PROVA DE CONCEITO
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
RELATÓRIO DA PROVA DE CONCEITO
PREGÃO ELETRÔNICO Nº 01/2022
OBJETO: Registro de preços para eventual contratação de Solução informatizada de governança, riscos e compliance , na modalidade software como serviço (SaaS), para atender às necessidades dos Tribunais do Trabalho, conforme condições, quantidades e exigências estabelecidas no Edital e seus anexos.
PREVISÃO DO EDITAL: A realização da prova de conceito, referente ao pregão supra, está prevista no item 21 do edital, reproduzido abaixo:
“21. DA PROVA DE CONCEITO
21.1. A proponente classificada em primeiro lugar será convocada para uma prova de conceito que demonstre a execução dos serviços descritos neste termo de referência, para verificar se atendem aos requisitos.
21.2. Esta prova de conceito visa verificar se o software ofertado atende às especificações requeridas no ambiente de produção real.
21.3. Se a proponente convocada classificada em primeiro lugar for desclassificada, será convocada a licitante autora da segunda melhor proposta, e assim sucessivamente, obedecendo a ordem de classificação.
21.4. A prova de conceito deve ser realizada, em data a ser oportunamente publicada aos licitantes, na sede do Tribunal Regional do Trabalho da 7ª Região, em horário comercial, de segunda a sexta-feira, das 08:00h às 15:00h.
21.4.1. Excepcionalmente, em razão das restrições referentes aos protocolos de distanciamento social impostos pela PANDEMIA da COVID-19, a prova de conceito poderá ser realizada remotamente, por videoconferência, exclusivamente por iniciativa do TRIBUNAL, sem prejuízo das demais exigências.
21.5. A prova de conceito poderá ser acompanhada por quaisquer licitantes
REGINA LDO XXXXXX XXXXX
XXXXXXX X XXXX XXXXX XXXXXXXX
XXXXXXX X XXXXXX XXXXX XXXXX
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
interessados que se manifestarem, no momento oportuno.
21.6. Se a equipe técnica da proponente não conseguir ativar alguma funcionalidade exigida neste Termo de Referência e solicitada durante a prova de conceito, o software será considerado reprovado.
21.7. Todo e qualquer custo de equipamento, software e equipe técnica disponibilizados para a realização da prova de conceito é de responsabilidade da proponente.
21.8. Na preparação inicial, a ser realizada no início da fase de execução:
21.8.1. A amostra deve ser configurada para permitir o acesso da equipe técnica do Tribunal.
21.8.2. A amostra deve então ser atualizada para a versão mais atual do software e afins, disponíveis pelos canais oficiais de suporte técnico do fabricante da solução.
21.8.3. Deverão ser aplicadas todas as correções, patches, fixes e afins recomendados pelo fabricante da solução em seus canais oficiais de suporte técnico.
21.8.4. Não serão aceitas versões, correções ou afins em estágios de testes (versões alfa e beta, release candidates, early availability, etc).
21.8.5. Não serão aceitas correções, patches, fixes e afins que não tenham previsão de serem incorporados em futuras versões do software da solução ofertada.
21.9. A prova de conceito terá prazo máximo de 15 (quinze) dias, a contar da convocação, distribuídos entre entrega, preparação e execução.
21.10. A proponente deverá iniciar a fase de execução assim que concluir a preparação do ambiente.
21.11. A fase de execução da prova de conceito terá duração máxima de 10 (dez) dias, prazo este incluso no prazo máximo de 15 (quinze) dias.
21.12. Ao final da fase de execução, a proponente deverá ter demonstrado claramente que atende todas as funcionalidades e requisitos técnicos especificados no edital. Não serão fornecidos novos prazos para a prova de conceito ao final desta fase.
21.13. Durante a fase de execução, a proponente deverá registrar
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
informações que comprovem o atendimento dos requisitos solicitados na prova de conceito e disponibilizá-las por meio digital para a equipe técnica do TRT7 logo após a sua finalização.
21.14. A CONTRATANTE deve disponibilizar em até 5 (cinco) dias úteis, contados da data da finalização da prova de conceito, o relatório final com todas as informações e resultados apurados durante os testes.
21.15. No relatório final deve constar informações da amostra que comprovem ou não a conformidade com as especificações técnicas deste Termo de Referência.
21.16. A CONTRATANTE emitirá, no prazo de até 5 (cinco) dias úteis após a entrega do relatório dos testes de amostra, o COMUNICADO que informará se a amostra está ou não de acordo com as especificações técnicas constantes no edital.
21.17. Caso o COMUNICADO indique que as amostras estão em total conformidade com as especificações técnicas exigidas, a proponente será classificada.
21.18. Caso o COMUNICADO indique a não conformidade das amostras com as especificações técnicas exigidas, a proponente será desclassificada.”
PROPONENTES CLASSIFICADA EM 1ª LUGAR: INTERACT SOLUTIONS
DATA DA CONVOCAÇÃO: No dia 26/01/2022 a arrematante (Interact Solutions) foi convocada pelo pregoeiro para execução da prova de conceito (POC) prevista no edital, a ser realizada no dia 31/01/2022 às 8hs.
xxxxxxxxxx.xxx.xx/xxxxx/Xxxxxx/xxxxxx0.xxx?xxxXxxx0000000&xxxxxxx00000&Xxxxxxx Chat&Tipo=A
Na convocação foi publicado a todos os licitantes que a POC seria realizada por videoconferência, no endereço eletrônico abaixo:
xxxxx://xxxx.xxxxxx.xxx/xxx-xxxx-xxx
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
ADIAMENTO: A pedido da equipe técnica do TRT7, o pregoeiro comunicou à arrematante e aos demais licitantes o adiamento do início da POC, remarcando-a para 01/02/2022 8hs.
INÍCIO DA POC: 01/02/2022 8h
LICITANTES PRESENTES:
Participaram da POC as empresas Every Cybersecurity e Módulo, além dos integrantes da própria Interact Solutions .
Xxxxxxxx Xxxxxxx- Interact Solutions Damião - Interact Solutions
Xxxxx Xxxxxx - Interact Solutions Xxxxxxx Xxxx - Every Cybersecurity Edison Bastos - Módulo
Xxxxxxxxx Xxxxxx - Interact Solutions Xxxx xxxxxxxx - Every Cybersecurity
Xxxxxx Xxxxxxx - ouvinte que entrou durante a sessão e não se identificou. Xxxxxxxx Xxxx - Every Cybersecurity
EQUIPE TÉCNICA DO TRT7:
Xxxxxxxx Xxxxx Xxxxxx Xxxxxxxx Xxxx Xxxxx Xxxxxxxx Xxxxxxxxx Xxxxxx Xxxxx
APRESENTAÇÕES: Foram realizadas 4(quatro) apresentações pelo Sr. Xxxxxxxx Xxxxxxx da Interact Solutions, por meio do Google Meet, conforme convocação. Todas foram gravadas.
01/02/2022 - Das 08h11 às 11h52;
01/02/2022 - Das 13h05 às 14h16;
02/02/2022 - Das 08h34 às 11h06;
02/02/2022 - Das 13h03 às 14h40.
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
AMOSTRA1: Base de demonstração utilizada pela Interact durante a execução da POC:
xxxxx://xxxxxx.xxxxxxxx.xxx.xx/xx Versão: 8.0.1.18
AMOSTRA2: Base de demonstração com dois acessos (usuários) fornecidos à equipe técnica do TRT7.
xxxxx://xxx-xxx.xxxxxxxx.xxx.xx/xx
O respectivo acesso foi testado, com sucesso, pelo Servidor Xxxxxxxxx Xxxxxx Xxxxx, dia 04/02/2022 às 14h40.
MÉTODO:
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Dia 01/02: A equipe técnica do TRT7 solicitou a Interact que, por meio da amostra 1 informada acima, realizasse a demonstração prática de como implementar os 5(cinco) primeiros subitens dos requisitos gerais(1.1), da gestão de riscos(1.2), da gestão de continuidade de negócio(1.3), da gestão de conformidade(1.4), da conformidade com a LGPD(1,5), da auditoria baseada em riscos(1.6) e dos requisitos não funcionais(1.7).
A intenção da equipe do TRT7 de explorar, inicialmente, uma parte de cada disciplina, ou invés de esgotar sequencialmente cada uma delas, visava proporcionar uma visão sistêmica da solução, contribuindo assim na melhor compreensão de como os requisitos são implementados e integrados.
Dia 02/02: A equipe técnica do TRT7 solicitou a Interact que, por meio da amostra 1 informada acima, realizasse a demonstração prática de todos os requisitos não abordados no dia anterior.
Dias 03, 04 e 07/02: Dias dedicados para equipe técnica do TRT7 realizarem estudo acerca da solução proposta.
CONCLUSÃO:
Considerando as observações das implementações práticas, requisito a requisito, realizadas durante as 9h de duração da POC;
Considerando o acesso e uso, pela equipe do TRT7, do ambiente de teste fornecido;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Considerando que as dúvidas sobre a plataforma SaaS foram satisfatoriamente respondidas pela arrematante, mediante diligência conduzida pelo Pregoeiro;
Concluímos que a ferramenta atende aos requisitos funcionais e não funcionais elencados no edital;
Abaixo registros gerais realizados pela equipe do TRT7.
Xxxxxxxxx Xxxxxx Xxxxx
Analista Judiciário - Especialidade Tecnologia da Informação
Xxxxxxxx Xxxxx Xxxxxx
Técnica Judiciária
Xxxxxxxx Xxxx Xxxxx Xxxxxxxx
Técnico Judiciário
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
REGISTROS REALIZADAS PELA EQUIPE TÉCNICA DO TRT7 DURANTE A APRESENTAÇÃO E ESTUDOS
item 1 - Solução informatizada de governança, riscos e compliance (GRC) , na modalidade software como serviço (SaaS)
1.1. REQUISITOS GERAIS
1.1.1. Integrar os conceitos de planejamento estratégico, gestão operacional e controles internos;
Registro: Realizado pelo performance manager
1.1.2. Possuir funcionalidades que possibilitem a realização da Gestão de Riscos, Gestão de Continuidade do Negócio, Gestão de Conformidades e de Auditoria Baseada em Riscos, que possibilite o trabalho de forma integrada das três linhas de defesa: gestão da área que tem os riscos analisados/avaliados, gestão de riscos corporativos e auditoria interna baseada em riscos;
Registro: Administrador de risco Gerenciamento de colaboradores Gerenciamento de programas de auditoria Módulo de Ocorrências
A integração pode ser verificada quando uma ocorrência em auditoria é registrada e o colaborador recebe por e-mail e pela tela as pendências.
1.1.3. Permitir o alinhamento organizacional nos níveis estratégico, tático e operacional, possibilitando a conformidade com regulamentos governamentais e institucionais;
Registro: Performance manager (Governança e continuidade do negócio por plano de ação - cadastro da norma) ou Registro de Ocorrências (notificação por email)
Monitoramento de Ocorrências
Gerenciamento de módulos de documentos para fluxo de criação/revisão de documentos e cadastro de normativos
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.1.4. Administrar processos relacionados a várias atividades, inclusive a definição de metas estratégicas, indicadores críticos de desempenho, gestão de riscos, gestão de processos, aplicação de indicadores e controles, auditorias e ações corretivas;
Registro: Performance manager Modelador de processos
Risk Manager
1.1.5. Suportar a gestão de riscos do início ao fim com uma ferramenta robusta e completamente integrada com outras funções de governança, riscos e conformidade, incluindo a conformidade regulamentar e a auditoria interna baseada em riscos;
Registro: Performance manager Risk Manager
1.1.6. Possibilitar a elaboração de consultas gerenciais customizadas de acordo com as necessidades e periodicidade definidas pelos usuários, com filtros que permitam sua emissão com seleção de atributos;
Registro: FIltros disponibilizados nos módulos
1.1.7. Permitir a criação de consultas salvas e compartilhamento das mesmas para grupos de usuários da solução;
Registro: FIltros disponibilizados nos módulos
1.2. REQUISITOS DE GESTÃO DE RISCOS
1.2.1. Permitir a definição das estruturas organizacionais do TRT7 que serão objetos da gestão de riscos corporativos;
Registro: Performance manager
1.2.2. Permitir a Gestão completa dos Riscos Corporativos, disponibilizando ferramentas para analisar, gerir e acompanhar de forma integrada os riscos organizacionais;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Performance manager
1.2.3. Permitir o registro da missão, da visão, da cadeia de valor, dos objetivos, das iniciativas estratégicas, das incertezas críticas e da política de gestão de riscos;
Registro: Performance manager juntamente com modelagem processos caso deseje detalhar a cadeia de valor
1.2.4. Permitir a vinculação de indicadores e iniciativas aos objetivos estratégicos; Registro: Performance manager
1.2.5. Permitir o acompanhamento de iniciativas e responsabilidades das metas estratégicas; Registro: Performance manager
1.2.6. Permitir a mensuração do desempenho em relação às metas, monitorando o progresso das iniciativas estratégicas com base nos indicadores;
Registro: Performance manager
1.2.7. Permitir uma abordagem estratégica na identificação dos principais objetivos da organização e dos riscos existentes para o alcance desses objetivos;
Registro: Performance manager
1.2.8. Possuir uma maneira sistemática e estruturada de alinhamento do risco com as estratégias institucionais;
Registro: Performance manager Risk Manager
1.2.9. Permitir a gestão de riscos baseada na norma ISO 31.000:2018 e nos frameworks COSO I e COSO II, para garantir uma terminologia e metodologia de acordo com as necessidades da organização;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Risk Manager
System Manager - Configurações
1.2.10. Contemplar todos os aspectos do processo de gestão de riscos, da identificação inicial do risco, passando pela avaliação e análise, até a mitigação e o monitoramento e análise crítica, gerenciando os incidentes e garantindo a execução das ações e a devida comunicação;
Registro: Risk Manager Gerenciamento de mensagens
1.2.11. Possuir a habilidade de identificar e avaliar os riscos mais significativos para o alcance dos objetivos e oportunidades;
Registro: Monitoramento de Risco - definir alertas
1.2.12. Permitir a gestão dos riscos para vários escopos diferentes (projetos, processos, ativos, produtos, scorecards, etc);
Registro: Risk Manager
1.2.13. Possibilitar a criação de dicionários de riscos, fatores de riscos, riscos associados e controles de toda a organização;
Registro: Risk Manager - configurações - lista de componentes
1.2.14. Permitir uma visão integrada dos processos críticos, fatores de riscos, controles, riscos inerentes e residuais, planos de ação e cadeia de valor;
Registro: Administração de Risco (ciclo de avaliações) Avaliação do Risco
1.2.15. Definir, classificar e quantificar os critérios utilizados para análise e avaliação de riscos (probabilidade e impacto);
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Administração de Risco
1.2.16. Permitir a análise de riscos de processos de negócios possibilitando aos usuários gerenciar e modificar os fluxos de trabalho da análise;
Registro: Administração de Risco (ciclo de avaliações) e Módulo de Ocorrências Avaliação do Risco
1.2.17. Permitir um ambiente colaborativo para definir detalhes dos processos de negócio, como entradas/saídas, recursos, custos, duração e calendários específicos;
Registro: Administração de Risco - vinculações
1.2.18. Permitir a classificação dos tipos de processos e atividades; Registro: Administração de Risco - vinculações
1.2.19. Permitir o registro de indicadores de desempenho dos processos; Registro: Administração de Risco - vinculações
1.2.20. Permitir a identificação dos riscos nos processos de forma que os responsáveis pelo processo tenham visibilidade sobre todos os riscos associados ao mesmo;
Registro: Administração de Risco - vinculações
1.2.21. Realizar a estimativa da perda financeira caso o risco seja materializado; Registro: Administração de Risco - vinculações
1.2.22. Permitir a vinculação de documentos às etapas do processo; Registro: Administração de Risco - vinculações
1.2.23. Permitir a integração de diversas disciplinas de riscos, criando inteligência em riscos corporativos. Cada disciplina pode possuir parâmetros de análises diferenciados, porém,
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
todos podem ser visualizados em uma Matriz de Riscos única; Registro: Administração de Risco por unidade de negócios
1.2.24. Permitir a representação gráfica dos resultados das análises da gestão de riscos corporativos, podendo ser adaptadas em cada uma das disciplinas, trabalhando dessa forma riscos e causas;
Registro: Administração de Risco
1.2.25. Permitir o agrupamento de riscos no nível organizacional; Registro: Administração de Risco
1.2.26. Permitir que riscos identificados em um processo específico sejam visualizados e desdobrados através da estrutura do processo;
Registro: Administração de Risco
1.2.27. Classificar os riscos, pelo menos, de acordo com o impacto para a organização e com a probabilidade da ocorrência no processo;
Registro: Administração de Risco
1.2.28. Permitir a parametrização dos métodos de avaliação;
Registro: Administração de Risco - ciclo de avaliações Alertas nas unidades de negócio
1.2.29. Permitir a avaliação de riscos quantitativa e qualitativa; Registro: Monitoramento de riscos
Alertas nas unidades de negócio
1.2.30. Proporcionar avaliações e comparações do risco residual e risco inerente, com alertas proativos quando os limites são excedidos;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Monitoramento de riscos Alertas nas unidades de negócio
1.2.31. Permitir a análise de causa e de tendência para os problemas e perdas; Registro: Módulo de ocorrência - tipo de ocorrência
Monitoramento de ocorrência e ações
1.2.32. Avaliar os riscos considerando as suas várias dimensões utilizando critérios de impacto e probabilidade e workflows para garantir o correto uso dos dados;
Registro: Administração de Risco
1.2.33. Permitir o registro das respostas aos riscos, que incluem evitar, reduzir, compartilhar ou aceitar, cujo principal insumo para tratamento advém dos Fatores de Risco (causas) identificados e priorizados;
Registro: Administração de Risco
1.2.34. Permitir a associação de riscos, controles e atividades de mitigação; Registro: Administração de Risco
1.2.35. Permitir o registro de atributos que o controle deve garantir para ser eficaz; Registro: Administração de Risco
1.2.36. Enviar automaticamente notificações aos responsáveis pela aplicação dos controles; Registro: Administração de Risco - email
1.2.37. Permitir o acompanhamento dos prazos e dos progressos da aplicação dos controles de mitigação dos riscos;
Registro: Monitoramento de riscos - filtros
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.2.38. Monitorar a eficácia das atividades de mitigação, controles e políticas, assim como as mudanças nos riscos e requerimentos através de indicadores;
Registro: Administração de Risco Gerenciamento de ações
1.2.39. Permitir a interconectividade entre os riscos, identificando o quanto a materialização de um risco pode influenciar outros riscos, por meio da Matriz de Priorização dos Riscos, proveniente do cruzamento da Matriz de Impactos Cruzados e da Matriz de Riscos Residuais;
Registro: Monitoramento de riscos
Biblioteca dos riscos (totalização dos riscos em uma matriz - associar um risco à outro através da aba instrução )
questionario
1.2.40. Oferecer mapas de calor para análise e monitoramento dos riscos; Registro: Monitoramento de riscos
1.2.41. Comunicar os resultados através de relatórios configuráveis, mapas de calor com desdobramento, tendências e lista dos principais riscos;
Registro: Monitoramento de riscos
1.2.42. Permitir uma visão global de todas as atividades relacionadas aos riscos através de dashboards personalizados;
Registro: Monitoramento de riscos
1.2.43. Possuir dashboard com painel gerencial, que disponibiliza para os usuários dados táticos e estratégicos de forma gráfica e analítica, com os principais resultados da análise da gestão de riscos corporativos;
Registro: Dashboard
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.2.44. Monitorar as perdas e penalidades dos processos; Registro: Administração de Risco
Gerenciamento de ações
1.2.45. Possibilitar a emissão de relatórios de todas as análises de risco realizadas; Registro: Cada elemento possui a opção de Relatório
1.3. REQUISITOS DE GESTÃO DE CONTINUIDADE DO NEGÓCIO
1.3.1. Atender as Normas ISO 22301:2013 (Sistema de Gestão de Continuidade de Negócios - Requisitos) e ISO 22313:2015 (Sistemas de Gestão de Continuidade de Negócios - Orientações);
Registro: Performance manager
1.3.2. Permitir a identificação dos processos críticos, a análise do impacto no negócio e qual o tempo que a organização suporta operar sem tais processos;
Registro: Performance manager
1.3.3. Permitir a elaboração das Estratégias de Continuidade; Registro: Performance manager
1.3.4. Permitir a elaboração de Planos e Ações Operacionais; Registro: Performance manager
1.3.5. Permitir a elaboração de Plano de Emergência, Crise, Continuidade do Negócio e Recuperação de Desastre a partir dos processos críticos e dos riscos;
Registro: Performance manager
1.4. REQUISITOS DE GESTÃO DE CONFORMIDADE
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.4.1. Permitir a avaliação de questões legais, como um normativo publicado, que possa vir a impactar o negócio do órgão, possibilitando o cadastro dos requisitos normativos e controle do nível conformidade;
Registro: Módulo de Ocorrências Administração de Risco (ciclo de avaliações)
1.4.2. Permitir a elaboração de questionário com perguntas para que o responsável do setor pontue quanto a conformidade ou não perante as perguntas. Para cada pergunta, além da conformidade, deve ser possível estabelecer a criticidade para a pergunta, escrever um comentário e anexar evidências quanto à conformidade ou não do questionário;
Registro: Módulo de Ocorrências
1.4.3. Permitir o estabelecimento de planos de ações, após as respostas do questionário, a fim de adequação das não conformidades identificadas, garantindo a realização de todo o acompanhamento até o devido atendimento legal;
Registro: Módulo de Ocorrências Administração de Risco (ciclo de avaliações)
1.4.4. Permitir a definição dos requisitos de conformidade aplicáveis e acompanhar a sua implementação em tempo real para cada processo da unidade de negócio;
Registro: Módulo de Ocorrências Administração de Risco (ciclo de avaliações)
1.4.5. Permitir o controle de revisões dos requisitos de conformidade; Registro: Módulo de Ocorrências
Administração de Risco (ciclo de avaliações)
1.4.6. Permitir que cada programa de avaliação de conformidade tenha seus próprios critérios, respostas possíveis, pontuação e pesos;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Módulo de Ocorrências
1.4.7. Possuir critérios de Classificação de Motricidade dos Fatores de Riscos/Não Conformidades, focando na priorização do tratamento ou anulação, evitando a materialização dos riscos;
Registro: Módulo de Ocorrências vinculado ao fator de risco (RISK Manager)
1.4.8. Permitir a análise de conformidade, para avaliar o nível de cumprimento dos requisitos;
Registro: Módulo de Ocorrências
1.4.9. Permitir evidenciar eventos de não conformidade; Registro: Módulo de Ocorrências
1.4.10. Armazenar as consequências da não conformidade com os requisitos; Registro: Monitoramento de Ocorrências
1.4.11. Possuir a habilidade de criar tarefas ou atividades relacionadas à conformidade para monitorar a responsabilidade e o cumprimento das mesmas;
Registro: Administração das ocorrências
1.4.12. Possuir a habilidade de relacionar requisitos externos aos programas de conformidade;
Registro: Monitoramento de Ocorrências
1.5 REQUISITOS DA CONFORMIDADE COM A LGPD
1.5.1. Permitir o cadastro de formulários de tratamento a serem utilizados pelas unidades de negócios, organizados em categorias, apresentando responsável, equipe, situação (ativo ou inativo), data de criação (não editável, para fins de histórico) e seus campos ordenáveis.
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Módulo - Soluções LGPD
1.5.2. Permitir a gestão em destaque dos riscos de conformidade com a LGPD; Registro: Módulo - Soluções LGPD
1.5.3. Permitir o cadastramento de dados que deverão ser alvos do tratamento de dados; Registro: Módulo - Soluções LGPD
1.5.4. Permitir a emissão de relatório de impacto de proteção de dados.
Registro: Módulo - Soluções LGPD
1.6. REQUISITOS DE AUDITORIA BASEADA EM RISCOS
1.6.1. Permitir a criação de auditorias conforme a necessidade do usuário, suportando todos os tipos de auditoria, incluindo auditorias internas, operacionais, de TI, de fornecedores, de riscos/controles e auditorias da qualidade;
Registro: Gerenciamento de programas de auditorias
1.6.2. Possuir um amplo escopo de auditorias, incluindo processos, áreas/departamentos, ativos, projetos e controles;
Registro: Gerenciamento de programas de auditorias
1.6.3. Deve ser possível realizar auditorias específicas dentro da ferramenta, para controles e possíveis riscos que ainda não estejam mapeados/apresentados no módulo Gestão de Riscos;
Registro: Gerenciamento de programas de auditorias
1.6.4. Deve ser possível definir os processos que serão auditados;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Gerenciamento de programas de auditorias
1.6.5 Oferecer funcionalidades para gerenciar o ciclo de vida completo de uma auditoria, incluindo agendamento, preparação, desenvolvimento de planos de auditoria padrão e teste (mediante checklist ou amostras e atributos de controle), coleta de dados, execução, relatórios e monitoramento;
Registro: Gerenciamento de programas de auditorias Monitoramento de Auditorias
1.6.6. Possibilidade de relacionar atividades de auditoria com atividades de controle e riscos; Registro: Gerenciamento de programas de auditorias
1.6.7. Conduzir auditorias baseadas em controles criando vários projetos de auditoria de diferentes tipos;
Registro: Gerenciamento de programas de auditorias
1.6.8. Permitir a gestão facilitada e efetiva de múltiplas auditorias, auditores e tipos de auditoria;
Registro: Gerenciamento de programas de auditorias
1.6.9. Permitir ao setor operacional a visualização das recomendações e a realização de planos de ação;
Registro: Gerenciamento de programas de auditorias
1.6.10. Permitir aos auditores o monitoramento dos planos de ação; Registro: Gerenciamento de programas de auditorias
Módulo de Ocorrências (recomendação)
Líder acata a ocorrência para encaminhamento à unidade auditada
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.6.11. Permitir aos auditores o registro de procedimentos com a descrição das fases para a realização do teste do controle;
Registro: Gerenciamento de programas de auditorias
1.6.12. Possibilitar a avaliação da eficácia de um dado controle a partir da parametrização da quantidade de falhas permitidas para ele, permitindo a anexação das devidas evidências;
Registro: Gerenciamento de programas de auditorias
1.6.13. Permitir ao auditor a formalização do parecer descrevendo as situações identificadas que o levaram a definir o controle como eficaz ou não;
Registro: Módulo de Ocorrências (recomendação) Monitoramento e gerenciamento de ações
1.6.14. Para os controles que forem testados pela Auditoria e tenham um parecer ineficaz, permitir a elaboração de um plano de ação para que o responsável pelo controle busque melhorar ou até mesmo substituí-lo por um controle eficaz;
Registro: Módulo de Ocorrências (recomendação) Monitoramento e gerenciamento de ações
1.6.15. Possibilitar o agendamento de auditorias futuras; Registro: Gerenciamento de programas de auditorias
1.6.16. Permitir a consolidação de todo o processo, incluindo a matriz de riscos e de controles, para cada processo que pode ser atualizado durante as auditorias;
Registro: Gerenciamento de programas de auditorias
1.6.17. Permitir o cadastro de critérios de avaliação e de resultado; Registro: Gerenciamento de programas de auditorias
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.6.18. Permitir o registro de evidências, incidentes, níveis de conformidade e comentários para cada requisito auditado;
Registro: Gerenciamento de programas de auditorias
1.6.19. Permitir o registro de melhores práticas, oportunidades de melhoria, não conformidades, pontos negativos e positivos, recomendações, conclusões, resultados e pontuação para os critérios de auditoria;
Registro: Gerenciamento de programas de auditorias Módulo de Ocorrências (recomendação)
1.6.20. Visualizar as auditorias do usuário logado, permitindo, assim, o acompanhamento de ocorrências e incidentes derivados das auditorias em questão;
Registro: Gerenciamento de programas de auditorias
1.6.21. Permitir o anexo de arquivos eletrônicos ou documentos relacionados ao processo de auditoria;
Registro: Gerenciamento de programas de auditorias
1.6.22. Permitir a aprovação das auditorias pelo revisor; Registro: Gerenciamento de programas de auditorias
1.6.23. Permitir o monitoramento de evidências e incidentes pendentes; Registro: Gerenciamento de programas de auditorias
1.6.24. Permitir a consulta de auditorias, ocorrências e cronograma de auditorias; Registro: Gerenciamento de programas de auditorias
1.6.25. Permitir a geração automática de relatórios de auditoria com a listagem dos problemas, incluindo checklists e ações tomadas;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Gerenciamento de programas de auditorias
1.6.26. Permitir a geração de relatórios gráficos e com identificações visuais dos objetivos estratégicos e a avaliação dos riscos para cada critério de avaliação;
Registro: Gerenciamento de programas de auditorias
1.7. REQUISITOS NÃO FUNCIONAIS
1.7.1. A solução deve estar armazenada e funcionar a partir da nuvem na modalidade Software as a Service (SaaS), sendo possível o acesso, a qualquer momento, dos usuários de qualquer local através de acesso web;
Registros: Solução Armazenada na Azure conforme documentação fornecida pela licitante.
Exemplo apresentado: ambiente do TRT8 hospedado em nuvem Microsoft Azure.
Abaixo resultado do comando “tracert” executado pela equipe do TRT7 revela que o ambiente fornecido pela interact para acesso ao TRT7 (xxx-xxx.xxxxxxxx.xxx.xx) está hospedado no endereçode domíniko “xxx.xxx”, mais especificamente o endereço
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
104.44.22.72, pertencente à Microsoft.
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Tela de administração do Microsoft Azure (imagem fornecida pela Interact)
1.7.2. Deve estar hospedado em serviço na Nuvem de forma segura, com garantias de continuidade do serviço e recuperação de desastres;
Registro: Infraestrutura Microsoft Azure.
1.7.3. Deve ser disponibilizado licença/acesso de quantidade contratada para uso simultâneo (licenças concorrentes). As licenças fornecidas não devem ser nomeadas, permitindo assim o cadastro de um número ilimitado de usuários;
Registro: as licenças são concorrentes.
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.7.4. Possuir módulo único e central de administração do ambiente, com controle de acesso por identificação e senha, cadastro de usuários, grupos e transações e definição de perfis de acesso, onde as permissões para cada uma das transações possam ser dadas diretamente ao usuário ou implicitamente através de um grupo do qual ele faça parte;
Registro: Xxxxxx Xxxxxxxxxxxxx de colaboradores e Monitoramento do sistema Módulo Controle de acesso
1.7.5. Permitir a definição do nível de acesso, direitos e permissões de cada usuário ou grupo de usuários no sistema, a partir da definição de quais funcionalidades do software serão disponibilizadas, assim como as informações de cada um dos setores, permitindo o controle de acesso e registro de log de operações realizadas no sistema;
Registro: Módulo Controle de acesso Monitoramento do sistema
1.7.6. A ferramenta deve prover mecanismos de segregação de usuários através de nível de atuação (gestores de risco, auditores, gestores de conformidade, suporte, administração, etc);
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
Registro: Gerenciamento de colaboradores
1.7.7. Utilizar e apresentar mensagens e telas no idioma português do Brasil, sem customização ou instalação de recursos adicionais;
Registro: idioma nativo é o Português Brasil
1.7.8. Possuir interface para monitoramento de notificações enviadas por e-mail; Registro: Gerenciamento de mensagens
1.7.9. Ser compatível pelo menos com os seguintes navegadores: Google Chrome, Mozilla Firefox e Microsoft Edge;
Registro: OK.
1.7.10. Permitir a emissão de relatórios em formato PDF, Planilhas e CSV (Comma Separated Values);
Registro: OK.
1.7.11. Permitir visualizar análises gráficas (Analytics) e tabelas com recursos de drill down e filtros avançados para análise de informações gerenciais;
Registro: OK.
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.7.12. Possuir interface responsiva que permita acesso das principais funções através de tablets e smartphones;
Registro: OK.
1.7.13. Realizar comunicação segura entre os diferentes componentes da solução e com a estação de trabalho usando padrões de criptografia e protocolos, ambos não proprietários (Ex. SSL);
Registro: OK.
1.7.14. Registrar as atividades em trilhas de auditoria mantendo o registro das alterações feitas nos dados e documentos com data, hora e usuário;
Registro: Monitoramento do sistema Logs
1.7.15. Registrar os acessos efetuados por todos os usuários em um arquivo de log, para fins de auditoria e elaboração de relatórios gerenciais. Esses dados serão acessíveis apenas por um grupo determinado de usuários autorizados, contendo no mínimo os seguintes dados: usuário, data, hora, transação realizada;
Registro: Monitoramento do sistema
1.7.16. Suportar mecanismo de autenticação única (Single Sign-On - SSO), de modo que os usuários possam efetuar logon na solução de GRC utilizando as mesmas credenciais da rede interna do Tribunal. Esse mecanismo deverá ser nativo e configurável dentro da própria ferramenta, fazendo uso de padrões abertos de autorização (SAML/oAuth) ou possibilitando a sincronização automática dos usuários e senhas da solução de GRC (em nuvem) com o Active Directory (AD) da Microsoft localizado na rede interna (on premise) do Tribunal;
Registro: Active Directory (AD) Integration
1.7.17. Todas as senhas de usuários devem ser armazenadas utilizando algoritmos de criptografia;
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO
TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO
SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO
1.7.18. Disponibilizar espaço de armazenamento de dados que garanta a boa performance do sistema e que seja compatível com a necessidade de utilização da CONTRATANTE, conforme a demanda, desde que dados e arquivos inseridos estejam de acordo com o escopo de utilização do software, podendo a CONTRATADA limitar o tamanho do upload a 25Mb por arquivo.
Registro: System Manager