SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO

ANEXO I – TERMO DE REFERÊNCIA

SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO

ASSISTÊNCIA DE SEGURANÇA DA INFORMAÇÃO

Termo de Referência para a eventual contratação, através de Sistema de Registro de Preços, de Solução que auxilie na prevenção e limitação da extensão de ataques cibernéticos, através do gerenciamento de vulnerabilidades, baseado em risco, dos ativos de Tecnologia da Informação, com análise contínua e adaptável de riscos e confiança, a fim de manter a confidencialidade, a disponibilidade e a integridade das informações.

Dezembro / 2021

1.DEFINIÇÃO DO OBJETO (Art. 18, § 3º, I)

1.1.Registro de preço para Solução que auxilie na prevenção e limitação da extensão de ataques cibernéticos, através do gerenciamento de vulnerabilidades, baseada em risco, dos ativos de Tecnologia da Informação, com análise contínua e adaptável de riscos e confiança, a fim de manter a confidencialidade, a disponibilidade e a integridade das informações.

0.0.Xx acordo com a tabela abaixo:

Lote Único
Item	Descrição	Forma de desembolso	ÓRGÃO	Qtde/Ó rgão	Qtde/ TL
	Solução de Gerenciamento de		TRT8	120
	vulnerabilidades para FQDNs
			TRT13	40
	Externos, dos ativos de Tecnologia
	da Informação, baseada e com análise
			TRT18	80
	contínua e adaptável de riscos e
	confiança, com o serviço de
			TRT6	100
	implantação e também o de garantia
	dos equipamentos e/ou softwares pelo
			TRT24	120
	período de 60 meses.
			TRT17	100
			TRT21	70
1		Único	TRT12	50	1446
			TRT15	156
			TRT7	120
			TRT3	100
			TRT19	50
			TRT22	50
			TRT20	60
			TRT5	100
			TRT11	130

			TRT8	150
			TRT13	380
			TRT18	150
			TRT6	200
			TRT24	120
	Solução de Gerenciamento de		TRT17	120
			TRT21	70
	vulnerabilidades para FQDNs
	Internos, dos ativos de Tecnologia
			TRT12	60
	da Informação, baseada e com análise
2	contínua e adaptável de riscos e	Único			2435
			TRT15	195
	confiança, com o serviço de
	implantação e também o de garantia
			TRT7	180
	dos equipamentos e/ou softwares pelo
	período de 60 meses.
			TRT3	100
			TRT19	150
			TRT22	200
			TRT20	50
			TRT5	150
			TRT11	160
3	Solução de Gerenciamento de	Único	TRT8	500	6360
	vulnerabilidades para Imagens de
			TRT13	100
	aplicações em Container, baseada e
	com análise contínua e adaptável de
			TRT18	400
	riscos e confiança, com o serviço de
	implantação e também o de garantia
			TRT6	600
	dos equipamentos e/ou softwares pelo
	período de 60 meses.
			TRT24	500
			TRT17	200
			TRT21	360
			TRT12	150
			TRT15	500

			TRT7	500
			TRT3	100
			TRT19	150
			TRT22	300
			TRT20	250
			TRT5	750
			TRT11	1000
			TRT8	3000
			TRT13	2000
			TRT18	2000
			TRT6	2000
			TRT24	2000
			TRT17	2500
	Solução de Gerenciamento de		TRT21	1750
	vulnerabilidades para Endpoints,
			TRT12	1500
	baseada e com análise contínua e
4	adaptável de riscos e confiança, com o serviço de implantação e também o	Único			31795
			TRT15	6000
	de garantia dos equipamentos e/ou
			TRT7	1645
	softwares pelo período de 60 meses.
			TRT3	1000
			TRT19	700
			TRT22	1200
			TRT20	1000
			TRT5	1000
			TRT11	2500
5	Suporte técnico especializado.	Mensal	TRT8	60	843
			TRT13	60

			TRT18	60
			TRT6	60
			TRT24	60
			TRT17	60
			TRT21	60
			TRT12	60
			TRT15	1
			TRT7	60
			TRT3	12
			TRT19	60
			TRT22	60
			TRT20	60
			TRT5	60
			TRT11	50
6	Treinamento técnico da Solução de Gerenciamento de vulnerabilidades.	Único	TRT8	10	132
			TRT13	8
			TRT18	5
			TRT6	10
			TRT24	10
			TRT17	15
			TRT21	5
			TRT12	6
			TRT15	10

			TRT7	9
			TRT3	8
			TRT19	5
			TRT22	5
			TRT20	6
			TRT5	10
			TRT11	10

1.3.Apesar da robustez da solução e a mudança de paradigma que traz para a segurança da informação das empresas que a adotam, podemos considerar os itens 1 a 4 como bens de natureza comum.

1.4.Os quantitativos estimados para os itens de 1 a 4 estão devidamente justificados pela quantidade de FQDNs (Fully Qualified Domain Name - Nome de Domínio Completamente Qualificado) e ativos presentes no ambiente do Tribunal Regional do Trabalho da 8a Região, de acordo com o ANEXO I - Memória de Cálculo (doc. 22, Proc. PROAD 3414/2021):

1.4.1.Número de FQDNs Externos do TRT8: 120; 1.4.2.Número de FQDNs Internos do TRT8: 150; 1.4.3.Número de Imagens de aplicações em Container: 500;

1.4.4.Número de Endpoints (Servidores e estações de trabalho): 3000.

1.5.O conceito de implantação, escrito nos itens 1 a 4, está descrito de forma mais detalhada no item REQUISITOS DO PROJETO DE IMPLANTAÇÃO, do APENSO I - Requisitos da Área Técnica.

1.6.A garantia, citada nos itens 1 a 4, está descrita de forma mais detalhada no item REQUISITOS DE GARANTIA E MANUTENÇÃO, do APENSO I - Requisitos da Área Técnica.

2.POSSIBILIDADE DE ADESÃO TARDIA

2.1.A solução a ser contratada é composta de software e serviço, que, apesar do nível de especificidade, pode ser considerada como um serviço comum, vez que os softwares da solução são produtos prontos e acabados que permitem customização para o ambiente de cada cliente.

2.2.Ademais, a solução pode ser utilizada de forma completa ou parcelada por qualquer ente público que queira aumentar seu nível de segurança da informação quando o assunto for relacionado a gerenciamento de vulnerabilidades, exaltando dessa forma o princípio da eficiência e preservando o caráter de cooperação institucional e compras compartilhadas do certame.

2.3.Os órgãos e entidades que não participarem do registro de preços, quando desejarem fazer uso da Ata de Registro de Preços, deverão consultar o órgão gerenciador da Ata, para manifestação sobre a possibilidade de adesão.

FUNDAMENTAÇÃO DA CONTRATAÇÃO (Art. 18, § 3º, I) 3.MOTIVAÇÃO (Art. 18, § 3º, II, a)

3.1.Considerando o expressivo número de 3,2 bilhões de tentativas de ataques cibernéticos ocorridas no primeiro trimestre de 2021 no Brasil, país hoje principal alvo da América Latina, faz-se mister fortalecer a segurança da informação deste Egrégio Tribunal, através da adoção de medidas necessárias para mitigar as fragilidades do ambiente computacional, descobertas pelo processo contínuo de definição, identificação, classificação, combate e monitoramento das eventuais vulnerabilidades da infraestrutura e sistemas de tecnologia da informação.

3.2.Nos anos de 2019 e 2020, a maioria dos ataques cibernéticos realizados no Brasil foram contra órgãos do Governo. Ademais, com a Lei Geral de Proteção de Dados brasileira, todos os órgãos públicos deverão investir em segurança e implementar processos e tecnologias efetivos para prevenir, detectar e remediar violações de dados pessoais.

3.3.A análise de vulnerabilidade é fundamental neste cenário, pois promove a melhoria contínua da infraestrutura num processo de definição, classificação e hierarquização dos recursos; identificação das ameaças existentes para cada um deles; estabelecimento de estratégias para cada ameaça identificada e monitoramento constante.

3.4.É dever da Secretaria de Tecnologia da Informação administrar e melhorar a confidencialidade, disponibilidade e integridade das informações dos magistrados, servidores e principalmente dos jurisdicionados do Tribunal.

3.5.Desta forma, a Análise de Vulnerabilidades é de suma relevância para avaliação adaptativa contínua de riscos e confiança dos ativos de tecnologia da informação, aumento da conformidade regulatória e proteção das informações da Justiça do Trabalho.

4.OBJETIVOS (Art. 18, § 3º, II, b)

4.1.Tornar o ambiente de infraestrutura tecnológica do Tribunal Regional do Trabalho da 8ª Região mais seguro e robusto.

4.2.Permitir o funcionamento contínuo dos serviços de tecnologia da informação, imprescindíveis ao cumprimento da função institucional, evitando indisponibilidade, reduções no desempenho, paradas não programadas ou perdas de informações.

4.3.Reduzir o risco de vazamento de informações da justiça do trabalho, dos magistrados, servidores e jurisdicionados;

4.4.Avaliar de forma contínua os riscos e confiança dos ativos de tecnologia da informação.

5.BENEFÍCIOS (Art. 18, § 3º, II, c)

5.1.Dentre os benefícios, destaca-se a redução de riscos e vulnerabilidades

identificados de forma periódica e orientada à riscos.

5.2.Redução do risco de vazamento de informações da justiça do trabalho, dos magistrados, servidores e jurisdicionados; garantia da continuidade do negócio do TRT da 8ª Região; além da própria imagem institucional.

5.3.Uma solução em gerenciamento de vulnerabilidades permite a varredura de vulnerabilidades dos ativos de tecnologia da informação, de forma periódica e orientada a riscos, provendo relatórios detalhados e ações que tornam os ativos mais seguros e eficientes.

5.4.Além disso, oferece funcionalidades relacionadas ao processo de gerenciamento de vulnerabilidades, como gestão de baselines, compliance e atribuição de scores aos ativos escaneados.

6.ALINHAMENTO ESTRATÉGICO E OPERACIONAL (Art. 18, § 3º, II, d)

6.1.A presente contratação encontra consonância com o Plano Estratégico do Tribunal da 8ª Região, formalizado pela Resolução nº 49/2021;

6.1.1. Objetivo Estratégico: Aprimorar a governança de TIC e a proteção de dados.

7.REFERÊNCIA AOS ESTUDOS PRELIMINARES (Art. 18, § 3º, II, e)

7.1.Este Termo de Referência foi elaborado considerando o Documento de Oficialização da Demanda (DOD) da área requisitante e os Estudos Técnicos Preliminares elaborado pela equipe de Planejamento da Contratação.

8.RELAÇÃO ENTRE A DEMANDA PREVISTA E A CONTRATADA(Art. 18, § 3º, II, f)

8.1.Esta contratação se destina, fundamentalmente, a prevenir e limitar a extensão de ataques cibernéticos, através do gerenciamento de vulnerabilidades, baseado em risco, dos ativos de Tecnologia da Informação, com análise contínua e

adaptável de riscos e confiança, a fim de manter a confidencialidade, a disponibilidade e a integridade das informações.

8.2.A demanda prevista para o quantitativo está de acordo com o que foi especificado no ANEXO I - Memória de Cálculo (doc. 22, Proc. PROAD 3414/2021).

9.NATUREZA DO OBJETO (Art. 18, § 3º, II, h)

9.1.O objeto a ser contratado possui características comuns e usuais encontradas atualmente no mercado de Tecnologia de Informação, cujos padrões de desempenho e de qualidade podem ser objetivamente definidos neste Termo de Referência.

10.PARCELAMENTO E ADJUDICAÇÃO DO OBJETO (Art. 18, § 3º, II, i)

10.1.Visando atingir o maior número de interessados em participar da licitação sem prejudicar a compatibilidade técnica dos itens que compõem a solução de TI, optou-se pela divisão dos produtos a serem licitados neste certame em 01 (um) lote com 06 (seis) itens, sempre em respeito a mais ampla competitividade e conforme previsto no artigo 23, § 1º da Lei 8666/93 e Súmula 247 do TCU.

10.2.A divisão em itens considerou a diferenciação das características técnicas dos produtos a serem adquiridos, porém agrupando em lote para não incorrer na perda de economia de escala, de produtividade e incompatibilidade técnica entre os itens.

10.3.Para efeito de adjudicação do objeto, será considerado o MENOR PREÇO GLOBAL POR LOTE, vez que todos os itens a serem fornecidos são componentes de uma única solução de TI, a qual não poderá ser desmembrada sem que haja perda de compatibilidade entre os itens do lote, de produtividade e de economia de escala.

11.MODALIDADE, TIPO DE LICITAÇÃO E CRITÉRIOS DE HABILITAÇÃO

(Art. 18, § 3º, II, j)

11.1.Verifica-se que o objeto pretendido é oferecido por alguns fornecedores no mercado de TIC, e apresenta características padronizadas e usuais. Assim, pode- se concluir que o objeto é comum e, portanto, sugere-se como melhor opção a utilização da modalidade PREGÃO sendo, preferencialmente, em sua forma eletrônica e do tipo MENOR PREÇO.

11.2. Deverá ser adotado o Sistema de Registro de Preços.

11.3.Conforme decreto nº 7.892, de 23 de janeiro de 2013, artigo 3º, o presente registro poderá ser adotado:

I - quando for conveniente a aquisição de bens ou a contratação de serviços para atendimento a mais de um órgão ou entidade, ou a programas de governo;

II - quando, pela natureza do objeto, não for possível definir previamente o quantitativo a ser demandado pela Administração.

11.4.O Tribunal poderá efetivar a contratação dos itens objeto deste documento observando a conveniência e oportunidade da Administração, além da viabilidade técnica e orçamentária.

11.5.O licitante vencedor da etapa de lances do Pregão, deverá apresentar um documento denominado “ATENDIMENTO ÀS ESPECIFICAÇÕES” para demonstrar o atendimento aos itens e subitens obrigatórios constantes deste Termo de Referência e anexos, onde será informada a localização exata da informação que garanta o atendimento ao item e subitem, explicando o documento / página. A informação deverá estar grifada para melhor visualização.

11.6.Todas as características técnicas obrigatórias deverão ser do fabricante e comprovadas por meio de folders, catálogos, manuais, ou impressão de páginas na Internet do fabricante, os quais deverão ser entregues juntamente com a proposta, em folhas numeradas e sequenciais.

11.7.Acerca do tratamento favorecido, diferenciado e simplificado para as ME e

EPP, o objeto em apreço está enquadrado na exceção prevista no inciso I do art. 10º do Decreto 8.538/2015, considerando que durante a pesquisa de preços, não foram localizados fornecedores competitivos enquadrados como microempresas ou empresas de pequeno porte sediadas local ou regionalmente e capazes de cumprir as exigências estabelecidas neste documento.

11.8.A proponente classificada em primeiro lugar será convocada para testes de bancada (amostra dos produtos / soluções), a serem realizados em conjunto pelas equipes técnicas da PROPONENTE e do Tribunal. Este procedimento está detalhado no item REQUISITO PRÉVIO PARA ADJUDICAÇÃO DO OBJETO, do APENSO I - Requisitos da Área Técnica.

12.ADEQUAÇÃO DO AMBIENTE (Art. 18, § 3º, II, k)

12.1.Os materiais e equipamentos utilizados na execução dos serviços contratados devem observar os critérios de sustentabilidade constantes no item 5.1 do Guia de Contratações Sustentáveis da Justiça do Trabalho.

12.2.Os resíduos com logística reversa obrigatória, gerados na execução dos serviços devem atender o disposto - Resíduos com Logística Reversa do Guia de Contratações Sustentáveis da Justiça do Trabalho.

12.3.A definição das rotinas de execução das atividades para contratação dos serviços terceirizados deve prever e estimar período adequado para a orientação e ambientação dos trabalhadores à política de responsabilidade socioambiental do órgão, durante toda a vigência do contrato.

12.4.Obedecer às normas técnicas, de saúde, de higiene e de segurança do trabalho, de acordo com as normas do Ministério do Trabalho.

12.5.Fornecer aos empregados os equipamentos de segurança que se fizerem necessários, para a execução de serviços e fiscalizar o uso, em especial pelo que consta da Norma Regulamentadora nº 6 do Ministério do Trabalho.

12.6.Assegurar, durante a vigência do contrato, capacitação a todos os trabalhadores em saúde e segurança no trabalho, dentro da jornada de trabalho,

com carga horária mínima de 2 (duas) horas mensais, conforme a Resolução CSJT nº

98 de 20 de abril de 2012.

12.7.Assegurar, durante a vigência do contrato, a capacitação dos trabalhadores quanto às práticas definidas na política de responsabilidade socioambiental do órgão.

12.8.Priorizar o emprego de mão de obra, materiais, tecnologias e matérias- primas de origem local para execução dos serviços.

12.9.Comprovar, como condição prévia à assinatura do contrato e durante a vigência contratual, sob pena de rescisão contratual, o atendimento das seguintes condições:

12.9.1.Não possuir inscrição no cadastro de empregadores flagrados explorando trabalhadores em condições análogas às de escravo, instituído pela Portaria Interministerial MTE/SDH nº 2, de 12 de maio de 2011;

12.9.2.Não ter sido condenada, a CONTRATADA ou seus dirigentes, por infringir as leis de combate à discriminação de raça ou de gênero, ao trabalho infantil e ao trabalho escravo, em afronta a previsão aos artigos 1° e 170 da Constituição Federal de 1988; do artigo 149 do Código Penal Brasileiro; do Decreto n° 5.017, de 12 de março de 2004 (promulga o Protocolo de Palermo) e das Convenções da OIT nos 29 e 105.

13.CONFORMIDADE TÉCNICA E LEGAL (Art. 18, § 3º, II, l)

13.1.Serão de propriedade do TRT8 todos os produtos gerados pela empresa CONTRATADA relacionados a presente contratação, incluindo estudos, relatórios, especificações, descrições técnicas, protótipos, dados, esquemas, planilhas, plantas, desenhos, diagramas, páginas na Intranet e documentação, em papel ou em qualquer forma ou mídia, em conformidade com o artigo 111 da Lei 8.666/93, com a Lei 9.609/98, que dispõe sobre propriedade intelectual de programa de computador, e com a Lei 9.610/98, que dispõe sobre direito autoral, sendo vedada qualquer comercialização desses por parte da CONTRATADA.

14.TRANSFERÊNCIA DE CONHECIMENTO (Art. 18, § 3º, III, a, 8)

14.1.A CONTRATADA deverá entregar ao Tribunal toda e qualquer documentação gerada em meio magnético e/ou físico em função da prestação de serviços.

00.0.Xx informações geradas pela CONTRATADA estarão disponíveis em ferramentas e em documentos conforme as definições e padrões utilizados pelo Tribunal.

14.3.Deverá haver transferência de conhecimento da CONTRATADA para o Tribunal em relação às tecnologias utilizadas na prestação de serviços para melhor eficiência, eficácia, efetividade e economicidade com sua adoção.

14.4.Será de inteira responsabilidade da CONTRATADA, sem ônus adicional para o Tribunal, garantir o repasse bem sucedido de todas as informações necessárias para a continuidade dos serviços pelo órgão ou empresa por este designada.

14.5.O apoio na fase de implantação, pela transferência técnica, no uso das soluções implantadas pela CONTRATADA, deverá ser viabilizado, sem ônus adicionais para o Tribunal, e baseado em documentos funcionais, técnicos e/ou manuais específicos da solução desenvolvida. O cronograma e horários dos eventos deverão ser previamente aprovados pelo órgão.

15.CONFIDENCIALIDADE DE INFORMAÇÕES

15.1.Os conhecimentos, dados e informações de propriedade do CONTRATANTE, tanto tecnológicos como administrativos, tais como: produtos, sistemas, técnicas, estratégias, métodos de operação e todos e quaisquer outros, repassados por força do objeto do contrato, constituem informação privilegiada e possuem caráter de confidencialidade.

15.2.Estas informações poderão ser utilizadas, só e exclusivamente, no cumprimento da execução das cláusulas e condições estabelecidas no contrato, sendo expressamente vedado à CONTRATADA:

15.2.1.Utilizá-las para fins não previstos no instrumento contratual; 15.2.2.Repassá-las a terceiros e/ou empregados não vinculados diretamente à

execução do objeto contratado.

16.OBRIGAÇÕES E RESPONSABILIDADE DA CONTRATADA (Art. 18, § 3º, II, m)

16.1.Compete à CONTRATADA, a execução das atividades na forma estipulada no presente Termo de Referência e anexos.

16.2.É permitida a subcontratação dos serviços constantes nesse processo até o limite de 50% (cinquenta por cento) do valor total.

16.2.1.A subcontratação depende de autorização prévia da CONTRATANTE, a quem incumbe avaliar se a subcontratada cumpre os requisitos de qualificação técnica, além da regularidade fiscal e trabalhista, necessários à execução do objeto.

16.2.2.Em qualquer hipótese de subcontratação, permanece a responsabilidade integral da CONTRATADA pela perfeita execução contratual, cabendo-lhe realizar a supervisão e coordenação das atividades da subcontratada, bem como responder perante a CONTRATANTE pelo rigoroso cumprimento das obrigações contratuais correspondentes ao objeto da subcontratação.

16.3.O Tribunal homologará as atividades correspondentes a cada solicitação a partir de sua entrega pela CONTRATADA.

16.4.A CONTRATADA deverá indenizar o Tribunal nos casos de danos, prejuízos, avarias ou subtração de seus bens ou valores, bem como por acesso e uso indevido de informações sigilosas ou de uso restrito, quando tais atos forem praticados por quem tenha sido alocado à execução do objeto do contrato, desde que devidamente identificado.

16.5.A CONTRATADA será a única e exclusiva responsável pela execução das atividades, reservando-se ao Tribunal o direito de exercer a mais ampla e completa fiscalização dessas atividades.

16.6.A CONTRATADA não poderá divulgar quaisquer informações a que tenha acesso em virtude dos trabalhos a serem executados ou de que tenha tomado conhecimento em decorrência da execução do objeto, sem autorização, por escrito, do Tribunal, sob pena de aplicação das sanções cabíveis, além do pagamento de indenização por perdas e danos.

16.7.A CONTRATADA deverá responsabilizar-se integralmente pela execução das atividades contratadas, nos termos da legislação vigente, de modo que os mesmos sejam realizados com esmero, sob sua inteira e exclusiva responsabilidade, obedecendo às normas e rotinas do Tribunal, em especial as que digam respeito à segurança, à confiabilidade e à integridade.

16.8.A CONTRATADA deverá assinar termo de responsabilidade e sigilo, comprometendo-se a não comentar nenhum assunto tratado nas dependências do Tribunal ou a serviço deste, salvo se expressamente autorizado por representante legal do Tribunal.

00.0.Xx termo de responsabilidade e sigilo assinado, a CONTRATADA declara estar ciente de que a estrutura computacional disponibilizada pelo Tribunal não poderá ser utilizada para fins particulares, e que a navegação em sítios da Internet e as correspondências em meio eletrônico utilizando o endereço do Tribunal ou acessado a partir dos seus equipamentos poderão ser auditadas.

16.10.A CONTRATADA responsabilizar-se-á pelo comportamento dos seus empregados e por quaisquer danos que estes ou seus prepostos venham porventura ocasionar ao Tribunal, ou a terceiros, durante a execução dos serviços, podendo o órgão descontar o valor correspondente ao dano dos pagamentos devidos.

16.11.A CONTRATADA deverá manter durante a vigência contratual, todas as condições que ensejaram a sua contratação.

16.12.A CONTRATADA deverá manter seus empregados, durante o horário de prestação do serviço, quando nas dependências do Tribunal, devidamente identificados mediante uso permanente de crachá.

16.13.A CONTRATADA deverá cumprir e fazer cumprir por seus empregados as normas e regulamentos disciplinares do Tribunal, bem como quaisquer determinações emanadas das autoridades competentes.

16.14.A CONTRATADA deverá providenciar a imediata correção das deficiências apontadas pelo Tribunal quanto à execução das atividades previstas.

16.15.A CONTRATADA não deverá se valer do contrato a ser celebrado para assumir obrigações perante terceiros, dando-o como garantia, nem utilizar os direitos de

crédito, a serem auferidos em função das atividades prestadas, em quaisquer operações de desconto bancário, sem prévia autorização do Tribunal.

16.16.A CONTRATADA deverá comunicar, de forma detalhada, toda e qualquer ocorrência de acidentes verificada no curso da execução contratual.

16.17.A CONTRATADA deverá ter monitoração da qualidade das atividades executadas. Os registros gerados, depois de atendidos e dados por concluídos, sofrerão avaliação do próprio usuário quanto à conclusão do atendimento e sua satisfação.

16.18.Caso os usuários não se sintam satisfeitos com a execução do suporte, os registros originais serão imediatamente reabertos.

16.19.Os registros deverão conter todas as informações necessárias para a consecução do atendimento pela CONTRATADA, bem como suficientes para atender as necessidades do cliente.

16.20.A CONTRATADA deverá diligenciar no sentido de que os seus técnicos, ou prepostos, portem, obrigatoriamente, a respectiva identidade funcional, quando do atendimento ao Tribunal.

16.21.A CONTRATADA deverá encaminhar expediente ao Tribunal, informando os nomes dos técnicos que estão autorizados a executar as atividades contratadas.

16.22.A CONTRATADA deverá apresentar atestado(s) de capacidade técnica expedido por pessoa jurídica de direito público ou privado, onde comprove ter desenvolvido atividades pertinentes e compatíveis aos constantes com o objeto deste edital;

16.23.A CONTRATADA deverá apresentar documentação técnica dos serviços executados, nas datas aprazadas, visando homologação da mesma pela CONTRATANTE.

16.24.A CONTRATADA deverá pagar todos os impostos e taxas devidas sobre as atividades prestadas ao Tribunal, bem como as contribuições à previdência social, encargos trabalhistas, prêmios de seguro e acidentes de trabalho, emolumentos, quaisquer insumos e outras despesas diretas e indiretas que se façam necessárias à execução dos serviços contratados. A não comprovação do

pagamento desobriga o CONTRATANTE do pagamento da fatura até a regularização.

17.OBRIGAÇÕES DO CONTRATANTE (Art. 18, § 3º, II, m)

17.1.Permitir ao pessoal técnico da CONTRATADA, desde que identificado e incluído na relação de técnicos autorizados, o acesso às unidades para a execução das atividades, respeitadas as normas de segurança vigentes nas suas dependências.

17.2.Notificar a CONTRATADA quanto a defeitos ou irregularidades verificados na execução das atividades objeto deste Termo de referência, bem como quanto a qualquer ocorrência relativa ao comportamento de seus técnicos, quando em atendimento, que venha a ser considerado prejudicial ou inconveniente para o Tribunal.

17.3.Indicar os locais onde deverão ser instalados os equipamentos, caso necessários, e proporcionar à CONTRATADA as facilidades e instruções necessárias para a realização do serviço de instalação.

17.4.Verificar a regularidade da situação fiscal e dos recolhimentos sociais trabalhistas da CONTRATADA conforme determina a lei, antes de efetuar o pagamento devido.

17.5.Promover a fiscalização do contrato, sob os aspectos quantitativo e qualitativo, por intermédio de profissional designado, anotando em registro próprio as falhas detectadas e exigindo as medidas corretivas necessárias, bem como acompanhar o desenvolvimento do contrato, conferir os serviços executados e atestar os documentos fiscais pertinentes, quando comprovada a execução total, fiel e correta dos serviços, podendo ainda sustar, recusar, mandar fazer ou desfazer qualquer procedimento que não esteja de acordo com os termos contratuais.

17.6.Comunicar tempestivamente à CONTRATADA as possíveis irregularidades detectadas na execução das atividades.

17.7.Confeccionar Termo de Recebimento Definitivo para os itens do LOTE.

17.8.Observar para que durante a vigência do contrato sejam cumpridas as

obrigações assumidas pela CONTRATADA, bem como sejam mantidas todas as condições de qualificação exigidas no processo de contratação.

17.9.É vedado nas contratações:

17.9.1.Estabelecer vínculo de subordinação com funcionários da empresa contratada;

17.9.2.Indicar pessoas para compor o quadro funcional da empresa contratada;

17.9.3.Reembolsar despesas com transporte, viagens, hospedagem e outros custos operacionais, que deverão ser de exclusiva responsabilidade da empresa contratada, exceto quando indicadas neste Termo de Referência;

17.9.4.Prever exigências em edital que constituam intervenção indevida da Administração na gestão interna dos fornecedores; e

17.9.5.Prever exigências em edital para que os fornecedores apresentem, em seus quadros, previamente à assinatura do contrato, documentação de funcionários com o objetivo de aferir a qualificação técnica ou a formação da equipe que prestará os serviços contratados.

18.FORMA DE EXECUÇÃO E GESTÃO DO CONTRATO (Art. 18, § 3º, III, a)

18.1.PRINCIPAIS PAPÉIS (Art. 18, § 3º, III, a, 1)

18.1.1.A execução dos serviços contratados pressupõe a existência dos seguintes papéis e responsabilidades:

▪PREPOSTO DA CONTRATADA: Integrante da CONTRATADA com capacidade gerencial para tratar todos os assuntos previstos neste Termo de Referência e no instrumento contratual correspondente, sem implicar em ônus para o CONTRATANTE.

▪FISCAL DE CONTRATO: Integrante do setor requisitante que exercerá função operacional de acompanhar e fiscalizar a execução do contrato, relatando os fatos à autoridade competente; anotar as ocorrências em registro próprio (livro

de ocorrência); e determinar a regularização de faltas ou defeitos observados.

▪GESTOR DE CONTRATO: Integrante da Secretaria de Tecnologia da Informação do TRT8, exercerá função de supervisão, o acompanhamento, a fiscalização e a intervenção na execução contratual, de tal forma que garanta a fiel observância das cláusulas contratuais e a perfeita realização do objeto.

18.1.2.A empresa CONTRATADA indicará um preposto para tratar todos os assuntos previstos neste documento e no instrumento contratual correspondente, sem implicar em ônus para o CONTRATANTE.

18.1.3.O CONTRATANTE designará um Fiscal de Contrato para acompanhar e fiscalizar a execução do contrato, relatando os fatos à autoridade competente, anotar as ocorrências em registro próprio e determinar a regularização de faltas ou defeitos observados.

18.2.DA FORMA DE COMUNICAÇÃO E ACOMPANHAMENTO DA EXECUÇÃO DO CONTRATO (Art. 18,

§ 3º, III, a, 5)

18.2.1.A forma de comunicação deverá ser preferencialmente via e-mail corporativo e telefone, conforme informações abaixo:

RESPONSABILIDADE			NOME			E-MAIL
Diretor da SETIN		Xxxxx Xxxxxxx Xxxxxxx Xxxx			xxxxx.xxxx@xxx0.xxx.xx
Analista técnico do projeto		Márcel Abreu da Xxxx			xxxxxx.xxxx@xxx0.xxx.xx
Responsável pela área de licitações de contratos		Xxxxxx Xxxxxxx Xxxxxxxxx			xxxxxx.xxxxxxxxx@xxx0.xxx.xx
Assessor Jurídico		Xxxxx Xxxxx Xxxxxx			xxxxx.xxxxxx@xxx0.xxx.xx

00.XXXXXXXXXXXX FORMAIS DE SOLICITAÇÃO DE FORNECIMENTO (Art. 18, § 3º, III, a,

3)

19.1.A solicitação de fornecimento ocorrerá após assinatura do contrato e/ou através de ORDEM DE FORNECIMENTO emitida pela área técnica do Tribunal.

20.CONDIÇÕES DE RECEBIMENTO DO OBJETO (Art. 18, § 3º, III, a, 2)

20.1.O prazo máximo para a entrega e instalação dos hardwares, caso a solução tenha necessidade de appliances, e softwares está descrito, assim como as demais condições de recebimento do objeto estão descritas no item REQUISITOS DO PROJETO DE IMPLANTAÇÃO, do APENSO I - Requisitos da Área Técnica.

21.DA FORMA DE ACOMPANHAMENTO DO ATENDIMENTO AOS PRAZOS DE GARANTIA E ACORDOS DE

NÍVEL DE SERVIÇO (Art. 18, § 3º, III, a, 4)

21.1.A forma de acompanhamento do atendimento aos prazos de garantia e acordos de Nível de Serviço está descrita com mais detalhes nos itens REQUISITOS DE GARANTIA E MANUTENÇÃO e Suporte Técnico Especializado, do APENSO I - Requisitos da Área Técnica.

22.DA FORMA DE RECEBIMENTO (Art. 18, § 3º, III, a, 6)

22.1.Para os equipamentos, caso a solução tenha necessidade de appliances:

22.1.1.O Recebimento Provisório do objeto será dado pelo Fiscal do Contrato, em até 10 (dez) dias após a entrega dos equipamentos, compreendendo dentre outras, as seguintes verificações:

22.1.1.1.Os materiais deverão estar em suas respectivas embalagens originais, se cabível, com a indicação da marca/modelo na embalagem e/ou no próprio material, bem como das demais características que possibilitem a correta identificação do material;

22.1.1.2.Condições da embalagem e/ou do material; 22.1.1.3.Quantidade entregue;

22.1.1.4.Apresentação do documento fiscal, com identificação do fornecedor e do

comprador (Tribunal), descrição do material entregue, quantidade, preços unitário e total.

22.1.2.O Recebimento Definitivo do objeto será dado pelo Fiscal de Contrato, após a emissão da Nota Fiscal, em até 30 (trinta) dias após a entrega dos equipamentos, satisfeitas as condições abaixo:

22.1.2.1.Correspondência de marca/modelo do material com os indicados na nota de empenho ou proposta da fornecedora;

22.1.2.2.Compatibilidade do material entregue com as especificações exigidas neste Termo de Referência e constantes da proposta da empresa fornecedora;

22.1.2.3.Realização de testes, quando previstos no Termo de Referência ou caso a unidade recebedora entenda necessário;

22.1.2.4.Conformidade do documento fiscal quanto à identificação do comprador (Tribunal), descrição do material entregue, quantidade, preços unitário e total.

22.1.2.5.Para o aceite, os equipamentos e seus componentes serão submetidos, a critério da CONTRATANTE, a testes de desempenho e/ou demonstrações de funcionamento, que verificarão funções e parâmetros especificados neste Termo de Referência.

22.2.Para os serviços de instalação de software, configuração e transferência de conhecimento:

22.2.1.O Recebimento Provisório do objeto será dado pelo Fiscal do Contrato, em até 10 (dez) dias após a execução dos serviços, compreendendo dentre outras, a apresentação do relatório técnico com a descrição dos serviços executados;

22.2.2.O Recebimento Definitivo do objeto será dado pelo Fiscal de Contrato, após a emissão da Nota Fiscal, em até 30 (trinta) dias após a execução dos serviços, satisfeitas as condições abaixo:

22.2.2.1.Compatibilidade dos serviços executados com as especificações exigidas neste Termo de Referência e constantes da proposta da empresa fornecedora;

22.2.2.2.Em caso de serviços de instalação e configuração, a entrega da solução

em pleno funcionamento, conforme avaliado pela equipe técnica do Tribunal;

22.2.2.3.Em caso de treinamento, apresentar os certificados de conclusão do curso emitidos para os participantes;

22.2.2.4.Conformidade do documento fiscal quanto à identificação do comprador (Tribunal), descrição do serviço entregue, quantidade, preços unitário e total.

00.XX PAGAMENTO (Art. 18, § 3º, III, a, 7)

23.1.A CONTRATADA deverá apresentar a Nota Fiscal/Fatura contendo nº da Nota de Empenho, em 02 (duas) vias, emitidas e entregues ao setor responsável pela fiscalização, para fins de ateste, liquidação e pagamento.

23.2.O pagamento dos equipamentos, caso a solução tenha necessidade de appliances, será realizado em parcela única, após o recebimento pelo Fiscal do Contrato.

23.3.O pagamento dos softwares que compõem a solução será feito após a entrega das licenças ao órgão licitante e o recebimento pelo Fiscal do Contrato.

23.4.O pagamento dos serviços de instalação e configuração, assim como dos serviços especializados em segurança da informação e de treinamento será realizado em parcela única, após o recebimento definitivo do objeto pelo Fiscal do Contrato, satisfeitas as condições do item “DA FORMA DE RECEBIMENTO”.

23.5.O pagamento dos serviços de suporte técnico será parcelado, realizado mensalmente.

24.HABILITAÇÃO TÉCNICA (Art. 18, § 3º, III, a, 10)

24.1.Nos termos do inciso II, art. 30 da lei 8.666/93, o LICITANTE deverá apresentar atestado de capacidade técnica, fornecido por pessoa jurídica de direito público ou privado, comprovando já ter fornecido, mediante venda, produto/solução compatível ao objeto licitado, incluindo os serviços de suporte

técnico especializado;

24.2.A exigência do item acima visa garantir que a CONTRATADA tenha plenas condições de fornecer o produto e/ou serviços de forma adequada à sua complexidade e que atenda a necessidade do Tribunal;

24.3.O Tribunal se resguarda no direito de diligenciar junto à pessoa jurídica emitente do atestado/declaração de capacidade técnica, visando a obter informações sobre os produtos fornecidos e/ou serviços prestados, cópias dos respectivos contratos/aditivos e/ou outros documentos comprobatórios do conteúdo declarado.

25.PENALIDADES (Art. 18, § 3º, III, a, 11)

00.0.Xxx fundamento no artigo 7º da Lei nº 10.520/2002 e, subsidiariamente, nos artigos 86 e 87 da Lei 8.666/1993, a Contratada ficará sujeita, assegurada prévia e ampla defesa, às seguintes penalidades:

◦ ADVERTÊNCIA

▪A Contratada será notificada formalmente pelo CONTRATANTE em caso de descumprimento de obrigação contratual e terá que apresentar as devidas justificativas em um prazo de até 5 (cinco) dias úteis após o recebimento da notificação; e

▪Caso não haja manifestação dentro desse prazo ou o TRT8 entenda serem improcedentes as justificativas apresentadas, a Contratada será advertida.

◦MULTA

▪0,5% por dia, sobre o valor constante no CONTRATO no caso de atraso injustificado na entrega dos serviços, limitada a incidência a 20 (vinte) dias corridos;

▪No caso de atraso injustificado na entrega dos serviços por prazo superior a 20 (vinte) dias corridos, com a aceitação pela Administração, será aplicada a multa

de 10% sobre o valor da Ordem de Fornecimento.

▪Em caso de atraso injustificado na entrega dos equipamentos, será cobrada multa no valor de 1% do valor total do contrato, por dia de atraso, até o limite de 30 (trinta) dias de atraso.

▪Decorrido o prazo de 30 (trinta) dias de atraso injustificado na entrega e/ou na solução de chamado de atendimento, será caracterizada a inexecução parcial do contrato. Com a aceitação pela Administração, será aplicada a multa de 10% sobre o valor do contrato.

▪Decorrido o prazo de 45 (quarenta e cinco) dias de atraso injustificado na entrega e/ou na solução de chamado de atendimento, será caracterizada a inexecução total do contrato.

25.2.O cometimento reiterado de atrasos injustificados dos prazos previstos para entrega/solução dos serviços poderá resultar no cancelamento do registro de preços com a CONTRATADA.

00.0.Xx penalidades acima mencionadas serão aplicadas sem prejuízo das demais penalidades previstas em lei.

00.0.Xx multas e outras sanções administrativas só poderão ser relevadas motivadamente por conveniência administrativa, mediante ato devidamente justificado, expedido pela autoridade competente do CONTRATANTE.

25.5.Será garantido o direito à prévia e ampla defesa, sem prejuízo das responsabilidades civil e criminal, ressalvados os casos devidamente justificados e acatados pelo Tribunal.

26.REQUISITOS TÉCNICOS

26.1.Descritos no APENSO I - Requisitos da Área Técnica

27.REQUISITOS DE GARANTIA E MANUTENÇÃO (Art. 4º, III)

27.1.Descritos no APENSO I - Requisitos da Área Técnica

28.DA PROPOSTA COMERCIAL

28.1.O preço proposto para este fornecimento deve englobar os valores relativos a impostos, fretes, seguros, salários, encargos e demais despesas necessárias ao fornecimento completo do objeto.

00.0.Xx propostas comerciais deverão ser válidas, no mínimo, por 60 (sessenta) dias.

28.3.Deverá constar, obrigatoriamente, na proposta:

28.3.1.O preço unitário do item ofertado, considerando todos os componentes de hardware e software necessários à execução do serviço;

28.3.2.A descrição detalhada dos itens propostos, atendendo aos quantitativos e às especificações mínimas descritas neste Termo de Referência e em seus anexos, indicando os números de identificação dos serviços ofertados.

28.4.O fabricante poderá ser convocado a validar a compatibilidade dos itens e as declarações apresentadas, de modo a validar as condições de garantia existentes.

28.5.A proposta comercial, necessariamente, deverá atender a descrição dos itens propostos, conforme descrito neste Termo de Referência.

28.6.O licitante vencedor da etapa de lances do Pregão, deverá apresentar um documento denominado “ATENDIMENTO ÀS ESPECIFICAÇÕES” para demonstrar o atendimento aos itens e subitens obrigatórios constantes deste Termo de Referência, onde será informada a localização exata da informação que garanta o atendimento ao item e subitem, explicando o documento/página, com o respectivo trecho comprobatório.

28.7.Todas as características técnicas obrigatórias deverão ser do fabricante e comprovadas por meio de folders, catálogos, manuais, impressão de páginas na Internet do fabricante ou testes realizados pelo CONTRATANTE, os quais deverão ser entregues juntamente com a proposta, em folhas numeradas e sequenciais.

29.ESTIMATIVA DE CUSTO

29.1.A pesquisa de preço detalhada e demais informações estão descritas no documento ANEXO III - Mapa Demonstrativo de Custos (doc. 78, Proc. PROAD 3414/2021).

29.2.A título informativo, segue a tabela com a estimativa média de preços:

LOTE ÚNICO
ITEM	ESPECIFICAÇÃO	VALOR MÉDIO UNITÁRIO (R$)	ÓRGÃOS	QTDE/ ÓRGÃO	QTDE TL ITEM	VLR TL/ÓRGÃO	VALOR TOTAL ITEM (R$)
1	Solução de Gerenciamento de vulnerabilidades para FQDNs Externos, dos ativos de Tecnologia da Informação, baseada e com análise contínua e adaptável de riscos e confiança, com o serviço de implantação e também o de garantia dos equipamentos e/ou softwares pelo período de 60 meses.	1.372,39	TRT8	120	1446	R$ 164.686,80	R$ 1.984.475,94
			TRT13	40		R$ 54.895,60
			TRT18	80		R$ 109.791,20
			TRT6	100		R$ 137.239,00
			TRT24	120		R$ 164.686,80
			TRT17	100		R$ 137.239,00
			TRT21	70		R$ 96.067,30
			TRT12	50		R$ 68.619,50
			TRT15	156		R$ 214.092,84
			TRT7	120		R$ 164.686,80
			TRT3	100		R$ 137.239,00
			TRT19	50		R$ 68.619,50
			TRT22	50		R$ 68.619,50
			TRT20	60		R$ 82.343,40
			TRT5	100		R$ 137.239,00
			TRT11	130		R$ 178.410,70
2	Solução de Gerenciamento de vulnerabilidades para FQDNs Internos, dos ativos de Tecnologia da Informação, baseada e com análise contínua e adaptável de riscos e confiança, com o serviço de implantação e também o de garantia dos equipamentos e/ou softwares pelo período de 60 meses.	1.360,39	TRT8	150	2435	R$ 204.058,50	R$ 3.312.549,65
			TRT13	380		R$ 516.948,20
			TRT18	150		R$ 204.058,50
			TRT6	200		R$ 272.078,00
			TRT24	120		R$ 163.246,80
			TRT17	120		R$ 163.246,80
			TRT21	70		R$ 95.227,30
			TRT12	60		R$ 81.623,40
			TRT15	195		R$ 265.276,05
			TRT7	180		R$ 244.870,20
			TRT3	100		R$ 136.039,00
			TRT19	150		R$ 204.058,50
			TRT22	200		R$ 272.078,00
			TRT20	50		R$ 68.019,50
			TRT5	150		R$ 204.058,50
			TRT11	160		R$ 217.662,40
3	Solução de Gerenciamento de vulnerabilidades para Imagens de aplicações em Container, baseada e com análise contínua e adaptável de riscos e confiança, com o serviço de implantação e também o de garantia dos equipamentos e/ou softwares pelo período	1.400,59	TRT8	500	6360	R$ 700.295,00	R$ 8.907.752,40
			TRT13	100		R$ 140.059,00
			TRT18	400		R$ 560.236,00
			TRT6	600		R$ 840.354,00
			TRT24	500		R$ 700.295,00
			TRT17	200		R$ 280.118,00
			TRT21	360		R$ 504.212,40
			TRT12	150		R$ 210.088,50
			TRT15	500		R$ 700.295,00
			TRT7	500		R$ 700.295,00
			TRT3	100		R$ 140.059,00

	de 60 meses.		TRT19	150		R$ 210.088,50
			TRT22	300		R$ 420.177,00
			TRT20	250		R$ 350.147,50
			TRT5	750		R$ 1.050.442,50
			TRT11	1000		R$ 1.400.590,00
4	Solução de Gerenciamento de vulnerabilidades para Endpoints, baseada e com análise contínua e adaptável de riscos e confiança, com o serviço de implantação e também o de garantia dos equipamentos e/ou softwares pelo período de 60 meses.	1.597,63	TRT8	3000	31795	R$ 4.792.890,00	R$ 50.796.645,85
			TRT13	2000		R$ 3.195.260,00
			TRT18	2000		R$ 3.195.260,00
			TRT6	2000		R$ 3.195.260,00
			TRT24	2000		R$ 3.195.260,00
			TRT17	2500		R$ 3.994.075,00
			TRT21	1750		R$ 2.795.852,50
			TRT12	1500		R$ 2.396.445,00
			TRT15	6000		R$ 9.585.780,00
			TRT7	1645		R$ 2.628.101,35
			TRT3	1000		R$ 1.597.630,00
			TRT19	700		R$ 1.118.341,00
			TRT22	1200		R$ 1.917.156,00
			TRT20	1000		R$ 1.597.630,00
			TRT5	1000		R$ 1.597.630,00
			TRT11	2500		R$ 3.994.075,00
5	Suporte técnico especializado.	12.663,33	TRT8	60	843	R$ 759.799,80	R$ 10.675.187,19
			TRT13	60		R$ 759.799,80
			TRT18	60		R$ 759.799,80
			TRT6	60		R$ 759.799,80
			TRT24	60		R$ 759.799,80
			TRT17	60		R$ 759.799,80
			TRT21	60		R$ 759.799,80
			TRT12	60		R$ 759.799,80
			TRT15	1		R$ 12.663,33
			TRT7	60		R$ 759.799,80
			TRT3	12		R$ 151.959,96
			TRT19	60		R$ 759.799,80
			TRT22	60		R$ 759.799,80
			TRT20	60		R$ 759.799,80
			TRT5	60		R$ 759.799,80
			TRT11	50		R$ 633.166,50
6	Treinamento técnico da Solução de Gerenciamento de vulnerabilidades.	9.582,50	TRT8	10	132	R$ 95.825,00	R$ 1.264.890,00
			TRT13	8		R$ 76.660,00
			TRT18	5		R$ 47.912,50
			TRT6	10		R$ 95.825,00
			TRT24	10		R$ 95.825,00
			TRT17	15		R$ 143.737,50
			TRT21	5		R$ 47.912,50
			TRT12	6		R$ 57.495,00
			TRT15	10		R$ 95.825,00
			TRT7	9		R$ 86.242,50
			TRT3	8		R$ 76.660,00
			TRT19	5		R$ 47.912,50
			TRT22	5		R$ 47.912,50
			TRT20	6		R$ 57.495,00
			TRT5	10		R$ 95.825,00
			TRT11	10		R$ 95.825,00
ESTIMATIVA MÉDIA - VALOR TOTAL DO LOTE:					43011	R$ 76.941.501,03	R$ 76.941.501,03

30.VALOR ESTIMADO OU VALOR MÁXIMO ACEITÁVEL

30.1.O valor para o Registro de Preços para contratação será do tipo Valor

Máximo Aceitável.

31.CLASSIFICAÇÃO ORÇAMENTÁRIA

31.1.Despesa de natureza continuada.

00.0.Xxxxxxxx: 33904006 – Locação de Software.

31.3.Treinamento: 33904020 – Treinamento / Capacitação em TIC.

31.4.Suporte Técnico: 33904021 - Serviços Técnicos de Profissionais de TIC - PJ.

32.EQUIPE DE ELABORAÇÃO DO TERMO DE REFERÊNCIA

Belém, 10 de dezembro de 2021.

Márcel Abreu da Mota

Integrante Demandante

Xxxxxxx Xxxxx Xxxxxx Xxxxxxxxx

Integrante Técnico

Xxxxx Xxxxxxxxx xx Xxxxx Xxxxxx

Integrante Administrativo

Xxxxx Xxxxxxx Xxxxxxx Xxxx

Aprovação do Demandante da Solução

APENSO I – REQUISITOS DA ÁREA TÉCNICA

1.REQUISITOS GERAIS

1.1.O licenciamento da plataforma deverá ser por ativo, sendo este um dos abaixo:

1.1.1.Ativos em rede;

1.1.2.Servidores e Estações de trabalho ou Notebooks;

1.1.3.Servidores em Cloud; 1.1.4.Contêineres; 1.1.5.Aplicações Web e API;

1.2.O licenciamento poderá ser flexível, ou seja, não limitado por módulo.

1.3.O gerenciamento da plataforma deverá ser centralizado e único para todos os módulos descritos neste documento;

1.4.A solução deve fornecer alta disponibilidade, com cluster ativo

– ativo, no site principal e site backup, com redundância da base de dados entre os sites.

2.QUANTITATIVOS

2.1.Plataforma de Gestão de Vulnerabilidade em Ativos de Rede e Nuvem.

2.1.1.Características Gerais

2.1.1.1.A solução deve ser licenciada para realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance) e indícios e padrões de códigos maliciosos conhecidos (malware);

2.1.1.2.A solução deve possuir recurso de varredura ativa, onde o scanner comunica-se com os alvos (ativos) através da rede;

2.1.1.3.Deve possibilitar, por meio da console, no mínimo 4 (quatro) métodos de escaneamento:

2.1.1.3.1.Scan ativo; 2.1.1.3.2.Scan com uso de agentes; 2.1.1.3.3.Scan passivo; 2.1.1.3.4.Scanner em nuvem;

2.1.1.4.Deve ser capaz de identificar no mínimo 50.000 CVEs (Common Vulnerabilities and Exposures);

2.1.1.5.A solução deve ter a capacidade de adicionar etiquetas (tags) aos ativos de maneira automática, manual e possibilitar o uso de regras com parâmetros específicos para aplicação das mesmas;

2.1.1.6.Deve atribuir a todas as vulnerabilidades uma severidade baseada no CVSSv3 score;

2.1.1.7.A solução deve calcular a criticidade e priorização de vulnerabilidades com base nos dados dos ativos, de preferência utilizando algoritmos de inteligência artificial (machine learning);

2.1.1.8.A solução deve fornecer criptografia de ponta a ponta dos dados de vulnerabilidades;

2.1.1.9.A solução deve possuir a capacidade de armazenar

informações dos ativos descobertos no ambiente;

2.1.1.10.Deve possuir um sistema de busca de informações de um determinado ativo com, no mínimo, as seguintes características:

2.1.1.10.1.Por sistema operacional;

2.1.1.10.2.Por	um determinado software instalado;
2.1.1.10.3.Por	Ativos impactados.
2.1.1.11.Deve	permitir aceitar o risco de	uma	determinada

vulnerabilidade encontrada no ambiente;

2.1.1.12.Possibilitar alterar a criticidade de determinada vulnerabilidade de forma manual;

2.1.1.13.Deve possuir API abrangente para automação de processos e integração com aplicações terceiras, permitindo, no mínimo, a extração de dados para carga no SIEM;

2.1.1.14.Deve ser capaz de fazer a correlação diária de ameaças ativas contra as vulnerabilidades existentes na infraestrutura;

2.1.1.15.A solução poderá permitir a instalação de agentes em estações de trabalho e servidores, para varredura diretamente no sistema operacional;

2.1.1.16.A solução deve possuir conectores para a seguintes plataformas:

0.0.0.00.0.Xxxxxx Web Service (AWS); 0.0.0.00.0.Xxxxxxxxx Azure; 0.0.0.00.0.Xxxxxx Cloud Platform; 0.0.0.00.0.Xxxxxx Cloud.

2.1.1.17.A solução deve ser capaz de produzir relatórios, no

mínimo, nos seguintes formatos: PDF, CSV e HTML;

2.1.1.18.A solução deve possuir recurso de monitoria passiva do tráfego de rede para identificação de anomalias, novos dispositivos e desvios de padrões observados;

2.1.1.19.A solução deve ser licenciada para o uso ilimitado de sensores passivos de rede para realizar o monitoramento em tempo real;

2.1.1.20.Deve ser possível determinar quais portas estão abertas em determinado ativo;

2.1.1.21.Deve ser capaz de guardar no mínimo os seguintes atributos de um ativo:

2.1.1.21.1.Endereço IPv4 e IPv6; 2.1.1.21.2.Sistema Operacional; 2.1.1.21.3.Nome NetBIOS:

2.1.1.21.4.FQDN;

2.1.1.22.A solução deve ser capaz de realizar em tempo real a descoberta de novos ativos para, no mínimo:

2.1.1.22.1.Bancos de dados; 2.1.1.22.2.Hypervisors; 2.1.1.22.3.Dispositivos móveis; 2.1.1.22.4.Dispositivos de rede; 2.1.1.22.5.Endpoints; 2.1.1.22.6.Aplicações;

2.1.1.23.Deve realizar em tempo real a identificação de informações sensíveis no tráfego de rede do ambiente;

2.1.1.24.A solução deve ser capaz de identificar a comunicação de malwares na rede de forma passiva;

2.1.1.25.Deve ser capaz de, em tempo real, detectar logins e downloads de arquivos em um compartilhamento de rede;

2.1.1.26.A solução deve ser capaz de, em tempo real, detectar logins e downloads de arquivos em um compartilhamento de rede sem a necessidade de um agente;

2.1.1.27.Permitir identificar vulnerabilidades associadas a servidores de Banco de Dados no tráfego de rede em tempo real sem a necessidade de um agente;

2.1.1.28.A solução deve possuir interface para integração com as principais soluções de SIEM de mercado, tais como IBM QRadar, Microfocus ArcSight e Splunk;

2.1.1.29.A atualização das ameaças deve ocorrer diariamente e sem interrupção dos serviços;

2.1.1.30.A solução deve ser capaz de realizar varreduras (scans) de vulnerabilidades para o número de ativos contratados;

2.1.1.31.A solução deve ser licenciada para uso de agentes instalados em estações de trabalho e servidores, para varredura diretamente no sistema operacional, no número total de ativos contratados.

2.1.1.32.A solução deve realizar varreduras em uma variedade de sistemas operacionais, incluindo no mínimo Windows, Linux e Mac OS, bem como Hypervisors VMWare e Dispositivos de Rede;

2.1.1.33.A solução deve suportar vários mecanismos de varredura distribuídos em diferentes localidades e regiões e gerenciar todos por uma console central;

2.1.1.34.A solução deve fornecer agentes prontos para instalação em sistemas operacionais distintos, para monitoramento de configurações e vulnerabilidades;

2.1.1.35.A solução deve incluir possibilidade de gerenciamento de varreduras: execução, agendamento, exceções, frequências, horários e periodicidade.

2.1.1.36.A solução deve permitir a entrada e o armazenamento seguro de credenciais do usuário, incluindo contas locais, de domínio (LDAP e Active Directory) e root para sistemas Linux;

2.1.1.37.A solução deve fornecer a capacidade de escalar privilégios nos destinos, do acesso de usuário padrão até acesso de sistema ou administrativo;

2.1.1.38.A solução deverá apresentar o status da vulnerabilidade, demonstrando na interface de gerenciamento se a mesma é Nova, Persistente, Corrigida ou Reincidente no ativo

2.1.1.39.Deverá ser possível modificar a severidade das vulnerabilidades, de um único ativo ou múltiplos ativos;

2.1.1.40.A solução deve suportar o uso de Tags nos ativos, sendo estas aplicados de forma manual ou automática;

2.1.1.41.Deverá ser possível configurar quais usuários, ou grupos de usuários, podem editar as Tags;

2.1.1.42.A solução deverá usar as Tags como filtros, podendo ser utilizadas na lista de vulnerabilidades, onde o objetivo é ver todas as vulnerabilidades existentes nos ativos que possuem determinada Tag;

2.1.1.43.Ser possível fazer análise dos ativos através de Tags, como exemplo todos os Ativos que possuem a Tag Linux;

2.1.2.Controle de Usuários

2.1.2.1.A solução deve suportar RBAC (Role Based Access Control) com no mínimo 3 tipos de usuários pré-definidos;

2.1.2.2.Deve possuir no mínimo um perfil administrador e um perfil somente leitura;

2.1.2.3.Somente servidores da Contratante ou pessoa por ela autorizada poderão ter acesso aos dados da solução;

2.1.2.4.A solução deve permitir a realização de autenticação com duplo fator através de protocolo RADIUS ou outros meios de comunicação;

2.1.2.5.A solução deve permitir, no mínimo, os seguintes métodos de autenticação: Usuário e senha, LDAP e Radius;

2.1.2.6.A solução deve possibilitar a criação de Grupos de Usuários;

2.1.2.7.Deve permitir configurar quais usuários, ou grupos de usuários, tem permissão de visualizar determinados ativos da organização e suas vulnerabilidades, e quais tem permissão de executar análises de vulnerabilidades nesses ativos;

2.1.2.8.Deve possibilitar configurar permissões, por usuário e grupo de usuário, específicas para cada política de análise de vulnerabilidades;

2.1.3.Relatórios e Dashboards

2.1.3.1.A solução deve suportar o envio automático de relatórios para destinatários específicos;

2.1.3.2.Deve ser possível definir a frequência na geração dos relatórios para, no mínimo: Diário, Mensal e Semanal;

2.1.3.3.A solução deve possuir dashboards customizáveis onde o administrador pode criar, editar ou excluir painéis de acordo com a necessidade;

2.1.3.4.Deve possuir ao menos 5 modelos de dashboards já criados, podendo ser customizados;

2.1.3.5.Deve ser possível exportar os dados em HTML, PDF ou CSV;

2.1.3.6.Deve ser possível exportar os gráficos dos dashboards, através da console de gerenciamento, em PDF, PNG ou JPG;

2.1.3.7.Deve ser possível criar um novo Dashboard e definir este como padrão de visualização do usuário, ou seja, o primeiro Dashboard a aparecer na console no acesso;

2.1.3.8.Deve ser possível configurar um filtro permanente no Dashboards para apresentar informações de todos os ativos, ou somente ativos específicos do ambiente;

2.1.3.9.A solução deve possuir ou permitir a criação de relatórios com as seguintes informações:

2.1.3.9.1.Hosts verificados sem credenciais; 0.0.0.0.0.Xxx 100 Vulnerabilidades mais críticas; 0.0.0.0.0.Xxx 10 Hosts infectados por Malwares; 2.1.3.9.4.Hosts exploráveis por Malwares;

0.0.0.0.0.Xxxxx de vulnerabilidades que podem ser exploradas pelo Metasploit;

2.1.3.9.6.Vulnerabilidades críticas e exploráveis;

2.1.3.9.7.Máquinas com vulnerabilidades que podem ser exploradas.

2.1.4.Conformidade

2.1.4.1.A solução deve ser totalmente licenciada para realizar scans de auditoria e compliance;

2.1.4.2.A solução deve ser capaz de realizar auditoria de conformidade sem a necessidade de agente instalado no dispositivo de destino;

2.1.4.3.A solução deve ser licenciada para realizar scans de conformidade e compliance de forma ilimitada;

2.1.4.4.Toda a solução deve ser licenciada de modo a realizar scans de conformidade para os seguintes padrões: CIS, SCAP e OVAL;

2.1.4.5.A solução deverá possuir modelos prontos de padrões de configuração, no mínimo para: CIS, DISA e MSCT (Microsoft Security Compliance Toolkit)

2.1.4.6.Deve suportar a verificação de compliance para, no mínimo: 2.1.4.6.1.Bluecoat ProxySG;

2.1.4.6.2.Brocade Fabric OS; 2.1.4.6.3.Checkpoint; 0.0.0.0.0.Xxxxx IOS;

2.1.4.6.5.Citrix Xenserver; 2.1.4.6.6.Fireeye; 2.1.4.6.7.Fortinet FortiOS; 0.0.0.0.0.XXX iSeries;

2.1.4.6.9.Netapp Data ONTAP;

2.1.4.6.10.Palo Alto Firewall; 0.0.0.0.00.Xxx Hat Enterprise Virtualization; 2.1.4.6.12.Unix;

0.0.0.0.00.Xxxxxxx;

2.1.4.6.14.VMware.

2.1.4.7.A solução deve gerar um score que combine dados de vulnerabilidades com a criticidade dos ativos do ambiente computacional;

2.1.4.8.O score deve ser gerado automaticamente por meio de algoritmos de inteligência artificial (Machine Learning) e deve calcular a probabilidade de exploração de uma determinada vulnerabilidade;

2.1.4.9.Deve ser capaz de calcular a criticidade dos ativos da organização;

2.1.4.10.Deve fornecer uma lista com as principais recomendações para o ambiente com foco na redução da exposição cibernética da organização;

2.1.4.11.A solução deve gerar uma pontuação para cada um dos ativos, onde é levada em conta as vulnerabilidades presentes naquele ativo, assim como a classificação do ativo na rede (peso do ativo).

2.1.4.12.A solução deve gerar uma pontuação global referente a exposição cibernética da organização baseado nas pontuações de cada um dos ativos.

2.1.4.13.A solução deve permitir um acompanhamento histórico do nível de exposição da organização;

2.1.4.14.Permitir realizar alterações na classificação dos ativos (atribuição de pesos diferentes) podendo sobrescrever a classificação atribuída automaticamente pela solução.

2.1.4.15.A solução deve possuir um gráfico indicativo do percentual de ativos com soluções de proteção de endpoint instaladas, bem como o nome e a versão da solução.

2.1.4.16.A solução deve permitir a segregação lógica entre áreas distintas da empresa a fim de obter a pontuação referente à exposição cibernética por área.

2.1.4.17.A solução deve permitir a segregação lógica entre aplicações distintas da empresa a fim de obter a pontuação referente à exposição cibernética por aplicação.

2.2.Plataforma de Gestão de Vulnerabilidade em Aplicações Web

2.2.1.Características Gerais

2.2.1.1.A solução de gestão de vulnerabilidades deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações Web como parte dos ativos a serem inspecionados;

2.2.1.2.A solução deverá ser capaz de executar varreduras em sistemas web através de seus endereços FQDN (DNS);

2.2.1.3.Deve possuir modelos (templates) prontos de varreduras e também ser possível a criação de modelos customizados;

2.2.1.4.Para varreduras extensas e detalhadas, deve varrer e auditar no mínimo os seguintes elementos:

2.2.1.4.1.Cookies, Headers, Formulários e Links; 2.2.1.4.2.Nomes e valores de parâmetros da aplicação;

2.2.1.4.3.Elementos JSON e XML; 2.2.1.4.4.Elementos DOM.

2.2.1.5.Deve ser capaz de excluir determinadas URLs da varredura através de expressões regulares;

2.2.1.6.Deve ser capaz de excluir determinados tipos de arquivos através de suas extensões;

2.2.1.7.Deve ser capaz de instituir no mínimo os seguintes limites: 2.2.1.7.1.Número máximo de URLs para crawl e navegação; 2.2.1.7.2.Número máximo de diretórios para varreduras; 2.2.1.7.3.Número máximo de profundidade dos elementos DOM; 2.2.1.7.4.Tamanho máximo de respostas;

2.2.1.7.5.Limite de requisições de redirecionamentos; 2.2.1.7.6.Tempo máximo para a varredura;

2.2.1.7.7.Número máximo de conexões HTTP ao servidor hospedando a aplicação Web;

2.2.1.7.8.Número máximo de requisições HTTP por segundo.

2.2.1.8.A solução deve ser capaz de detectar congestionamento de rede e limitar os seguintes aspectos da varredura:

2.2.1.8.1.Limite em segundos para timeout de requisições de rede;

2.2.1.8.2.Número máximo de timeouts antes que a varredura seja abortada.

2.2.1.9.Deve ser capaz de agendar a varredura e determinar sua frequência entre: única, diária, semanal, e mensal;

2.2.1.10.Deve ser capaz de enviar notificações através de E-mail e, caso possível, outras formas;

2.2.1.11.Deverá avaliar sistemas web utilizando frameworks como AJAX, HTML5 e SPA;

2.2.1.12.Deverá possibilitar a definição de atributos no cabeçalho (HEADER) da requisição HTTP de forma personalizada a ser enviada durante os testes;

2.2.1.13.Deverá ser compatível com avaliação de RESTful APIs;

2.2.1.14.Deverá suportar no mínimo os seguintes esquemas de autenticação:

2.2.1.14.1.Autenticação básica (digest); 2.2.1.14.2.NTLM;

2.2.1.14.3.Form de login; 2.2.1.14.4.Autenticação de Cookies; 2.2.1.14.5.Autenticação através de Selenium.

2.2.1.15.Deve ser capaz de importar scripts de autenticação selenium previamente configurados pelo usuário;

2.2.1.16.Deve ser capaz de customizar parâmetros Selenium como delay de exibição da página, delay de execução de comandos e delay de comandos para recepção de novos comandos;

2.2.1.17.Deve ser capaz de exibir os resultados das varreduras em dashboard dedicados para este tipo de análise;

2.2.1.18.Os resultados devem ser apresentados agregados por vulnerabilidades ou por aplicações;

2.2.1.19.Para cada vulnerabilidade encontrada, devem ser exibidas as evidências da mesma em seus detalhes;

2.2.1.20.Para vulnerabilidades de injeção de código (SQL, XSS,

XSRF, etc), deve evidenciar nos detalhes do evento encontrado: 2.2.1.20.1.Payload injetado;

2.2.1.20.2.Evidência em forma de resposta da aplicação; 2.2.1.20.3.Detalhes da requisição HTTP; 2.2.1.20.4.Detalhes da resposta HTTP.

2.2.1.21.Os detalhes das vulnerabilidades devem conter descrição da falha e referências didáticas para a revisão dos analistas;

2.2.1.22.Cada vulnerabilidade encontrada deve conter também soluções propostas para mitigação ou remediação das mesmas;

2.2.1.23.A solução deve possuir suporte a varreduras de componentes para, no mínimo:

2.2.1.23.1.Wordpress; 2.2.1.23.2.AngularJS;

2.2.1.23.3.Apache;

2.2.1.23.4.Apache Tomcat; 2.2.1.23.5.Backbone.js;

0.0.0.00.0.XXX.XXX;

2.2.1.23.7.Bootstrap; 2.2.1.23.8.Drupal;

2.2.1.23.9.Joomla!;

2.2.1.23.10.jQuery; 2.2.1.23.11.Magento; 2.2.1.23.12.Nginx;

2.2.1.23.13.PHP; e

2.2.1.23.14.AJAX.

2.2.1.24.A solução deverá possuir controle de permissão de usuários, com no mínimo ,3 níveis, sendo: Administrador, Operador de Scan e Somente Leitura;

2.2.1.25.Deverá possuir a capacidade de manter privado os resultados de um scan, ou seja, não aparecendo o resultado no dashboard da solução;

2.2.1.26.A solução poderá possuir scanners pré-configurados em nuvem, para realização de scans externos;

2.2.1.27.A solução deve possuir, também, sensores (scanner) on- premisses;

2.2.1.28.Deverá ser possível exportar os gráficos do dashboard em PDF, PNG ou JPEG, nativamente pelo console de gerência.

2.2.1.29.A solução deve suportar listas de exclusão globais;

2.2.1.30.Deve possuir um dicionário já criado com as principais páginas comuns e páginas de backup existentes.

2.2.1.31.Deve apresentar a nota do CVSSv3 nas vulnerabilidades encontradas;

2.2.1.32.A solução deverá gerar relatórios das vulnerabilidades, no mínimo em PDF, HTML e CSV.

2.3.Plataforma de Gestão de Vulnerabilidade em Contêineres

2.3.1.Características Gerais

2.3.1.1.A solução deverá ser licenciada contabilizando o número de imagens únicas, não sendo contabilizadas novas versões de uma mesma imagem;

2.3.1.2.A solução de gestão de vulnerabilidades deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações em Containers Docker como parte dos ativos a serem inspecionados;

2.3.1.3.A solução deve ser capaz de analisar imagens em Container utilizadas pelo TRT8, preparadas pelos desenvolvedores, em busca de vulnerabilidades identificadas e malwares residentes no sistema de arquivos;

2.3.1.4.A documentação de API da solução deverá ter acesso público através de website ou documentação do próprio fabricante;

2.3.1.5.A console de administração deverá possuir controle de acesso no mínimo permitindo usuários com capacidade de somente visualizar as informações, e usuários com capacidade para efetuar análise das imagens;

2.3.1.6.A solução deve inventariar o sistema operacional de cada imagem analisada e suas vulnerabilidades encontradas;

2.3.1.7.A solução deve ser capaz de identificar containers que não foram analisados antes de sua implementação em produção;

2.3.1.8.A solução deve analisar as camadas (layers) de um container;

2.3.1.9.A solução deve ser capaz de identificar containers que tiveram mudanças de arquivos entre a análise e a sua implementação em produção;

2.3.1.10.A solução deve ser capaz de identificar as devidas tags das imagens avaliadas;

2.3.1.11.A solução deve informar os CVEs para cada vulnerabilidade encontrada nos pacotes e bibliotecas residentes na imagem;

2.3.1.12.A solução deve ter a capacidade de testar automaticamente

todas as imagens armazenadas, ou previamente testadas, sempre que uma nova vulnerabilidade for publicada e atualizada no banco de dados de vulnerabilidade da solução, sem qualquer tipo intervenção manual;

2.3.1.13.Deve ser capaz de inventariar os pacotes e bibliotecas e suas respectivas versões;

2.3.1.14.A solução deve possuir conectores e permitir importação de imagens, no mínimo, dos seguintes repositórios:

2.3.1.14.1.Docker HUB;

2.3.1.14.2.GitLab Container Registry; 2.3.1.14.3.Harbor;

0.0.0.00.0.Xxxxxx Container Registry.

2.3.1.15.A solução deve fornecer scanner em formato Docker para implementação local e análise de imagens sem a necessidade de envio destas para repositório remoto, fora do ambiente da CONTRATANTE;

2.3.1.16.A solução ser capaz de configurar políticas usando como condições: CVSS Score, CVEs específicos e Malware identificado;

2.3.1.17.A solução deve permitir a criação de políticas específicas por repositório;

2.3.1.18.A solução deve prover integração com, no mínimo, as seguintes plataformas de integração contínua: GitLab, Jenkins, Argo CD, Travis CI e Kubernetes;

2.3.1.19.A solução deverá ser capaz de analisar vulnerabilidades também na infraestrutura, onde as imagens de container são executadas, tanto do sistema operacional quanto das aplicações que nele estão instaladas. Esta capacidade poderá ser:

2.3.1.19.1.Nativa da solução, desde que exista uma extensa compatibilidade de sistemas operacionais e aplicações relacionadas a container, algumas já explicitadas em itens anteriores, e já licenciada para uso;

2.3.1.19.2.Executada através de integração com terceiros, desde que toda a solução esteja licenciada para a CONTRATANTE;

2.4.Suporte Técnico Especializado.

2.4.1.A CONTRATADA deverá fornecer serviços de manutenção e suporte técnico pelo período de 60 (sessenta) meses, contados da data da assinatura do contrato de suporte técnico especializado, contemplando o suporte técnico para os sistemas e/ou appliances que compõem a Solução de Gerenciamento de Vulnerabilidades;

2.4.2.A CONTRATADA deverá prestar serviço de manutenção e suporte técnico destinado a:

2.4.2.1.Restabelecimento de serviços interrompidos ou degradados;

2.4.2.2.Solução de problemas de configuração e falhas técnicas nos serviços;

2.4.2.3.Esclarecimentos de dúvidas sobre configurações e utilização dos serviços;

2.4.2.4.Implementação de novas funcionalidades.

2.4.2.5.Entre outras situações correlatas às acima exemplificadas;

2.4.3.A CONTRATADA deverá atender as seguintes premissas:

2.4.3.1.Os serviços serão solicitados mediante a abertura de chamados a serem efetuados por técnicos do Tribunal, via chamada telefônica local ou gratuita, e-mail ou website, sem custos para a CONTRATANTE.

2.4.3.2.Não haverá limitação de quantidade de abertura de chamados para suporte.

2.4.3.3.O suporte deve estar disponível 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, nos 365 (trezentos e sessenta dias) do ano, sendo o Português Brasileiro o idioma de suporte técnico obrigatório.

2.4.3.4.Os serviços de suporte deverão ser prestados por técnicos devidamente capacitados nos respectivos componentes da solução. Caberá à CONTRATADA fornecer aos seus técnicos todas as ferramentas e os instrumentos necessários à execução dos serviços.

2.4.3.5.Todas as solicitações feitas pelo CONTRATANTE deverão ser registradas pela CONTRATADA em sistema informatizado para acompanhamento e controle da execução dos serviços.

2.4.3.6.O acompanhamento da prestação de serviço deverá ser através de um número de protocolo fornecido pela CONTRATADA, no momento da abertura da solicitação.

2.4.3.7.Requisitos de Atendimento:

2.4.3.7.1.A CONTRATADA deverá realizar, mensalmente, procedimento de health check (check up) das configurações da(s) ferramenta(s) que façam parte da solução, propondo as melhorias necessárias através de relatórios, baseando-se nas boas práticas recomendadas

pelo fabricante;

2.4.3.7.2.A CONTRATADA deve emitir, mensalmente, relatórios de vulnerabilidades e proposições de melhorias, no contexto da solução contratada, para avaliação do CONTRATANTE:

2.4.3.7.2.1.Procedimentos de correção e/ou contramedidas recomendadas pela equipe especializada da Contratada;

2.4.3.7.2.2.Orientações para o System Hardening dos serviços, servidores, elementos ativos e aplicações avaliados;

2.4.3.7.2.3.Sugestão para incremento da segurança e proteção do ambiente;

2.4.3.7.2.4.Os relatórios devem ser entregues em português, podendo os anexos técnicos possuírem dados em língua inglesa.

2.4.3.7.3.A CONTRATADA deve comunicar formalmente o CONTRATANTE sempre que identificar algum serviço com falhas de implementação e que tornem o ambiente vulnerável a indisponibilidade, bem como a realização permanente de ações proativas voltadas ao incremento da segurança do parque computacional do TRT8, a fim de mantê-lo estável, disponível e íntegro.

2.4.3.7.4.A CONTRATADA deverá apoiar o CONTRATANTE em caso de mudanças requeridas por conta de atualizações ou remanejamentos de infraestrutura, quando tais alterações envolver a solução ora contratada;

2.4.3.7.5.A CONTRATADA deverá realizar, no contexto da solução contratada, sob autorização e supervisão da CONTRATADA: instalação de softwares, acompanhamento de migrações de regras e políticas,

elaboração e execução de scripts, análise de performance, resolução de problemas e implementação de segurança.

2.4.3.7.6.Os relatórios produzidos devem ser apresentados e discutidos em reunião mensal, com presença de profissional que conheça todos os serviços. Nesse contexto, o profissional deve apresentá-lo de forma presencial nas dependências do CONTRATANTE ou de forma virtual, por meio de solução de videoconferência de preferência do CONTRATANTE.

2.4.3.7.7.Não serão aceitos relatórios obtidos diretamente de ferramentas automatizadas utilizadas, sem a devida transcrição e contextualização adequada com o ambiente do TRT8.

2.4.3.8.Dos prazos de atendimento:

2.4.3.8.1.A tabela abaixo descreve os prazos de atendimento que deverão ser cumpridos pela CONTRATADA, de acordo com a severidade de cada chamado aberto:

Tabela de Solução dos chamados
Severidad e	Descrição	Tempo para primeiro contato após abertura do chamado	Tempo de resolução do chamado
Xxxxxxx	Xxxxxxx crítico parado em produção.	30 minutos	Até 01 (uma) hora
Alta	Erros e problemas que estão impactando no ambiente de produção.	60 minutos	Até 04 (quatro) hora
Média	Problemas ou erros contornáveis que afetam o ambiente em produção, mas não possuem alto	90 minutos	Até 06 (seis) horas

	impacto.
Baixa	Problemas ou erros contornáveis que não impactam significativamente no ambiente em produção.	120 minutos	Até 08 (oito) horas
Informaçõ es	Consulta Técnica, dúvidas em geral, monitoramento.	150 minutos	Até 24 (vinte e quatro) horas

2.4.3.8.2.O prazo de atendimento deve começar a ser contabilizado a partir do momento de efetivação da abertura do suporte, através de telefone ou e-mail;

2.4.3.9.A CONTRATADA deve apresentar relatório de visita para cada solicitação de suporte on-site, contendo a data e hora da solicitação de suporte técnico, o início e o término do atendimento, identificação do problema, providências adotadas e demais informações pertinentes;

2.4.3.10.O nível de severidade será informado no momento da abertura de cada chamado pelo técnico responsável do CONTRATANTE;

2.4.3.11.Todas as solicitações de suporte técnico devem ser registradas pela CONTRATADA para acompanhar e controlar a execução dos chamados;

2.4.3.12.O descumprimento dos prazos de atendimento implicará na aplicação de glosas conforme tabela abaixo:

Tabela de aplicação de Glosas
Severidade	Fórmula de cálculo da glosa	Limite da glosa

Urgente	HS x 0,5% * VFM	20% da VFM
Alta	HS x 0,4% * VFM	15% da VFM
Média	HS x 0,3% * VFM	10% da VFM
Baixa	HS x 0,2% * VFM	10% da VFM
Informações	HS x 0,1% * VFM	10% da VFM
HS = Horas totais que extrapolaram o limite de resolução dos chamados, no caso de hora quebrada, será apurado o percentual da hora descumprida.
VFM = Valor da Fatura Mensal para pagamento do serviço de suporte.
Em caso de descumprimento contumaz pela CONTRATADA nos prazos para atendimento do suporte técnico a fiscalização poderá adotar a aplicação de sanções: advertências, multas, suspensão temporária de participação em licitação e impedimento de contratar com a Administração e declaração de inidoneidade para licitar ou contratar com a Administração Pública enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade, na forma da lei 8.666, de 1993.

2.4.3.13.A CONTRATADA deve emitir relatório mensal em arquivo eletrônico ou em sistema de consulta online, com informações dos chamados abertos e fechados no período;

2.4.3.14.O relatório deve possuir os seguintes parâmetros:

2.4.3.14.1.Quantidade de ocorrências (chamados) registradas no período;

2.4.3.14.2.Número do chamado registrado e nível de severidade; 0.0.0.00.0.Xxxx e hora de abertura;

0.0.0.00.0.Xxxx e hora de início e conclusão do atendimento; 2.4.3.14.5.Identificação do técnico que fez o registro do chamado;

2.4.3.14.6.Descrição do problema; 2.4.3.14.7.Descrição da solução;

2.4.3.15.Problemas cuja solução dependa de correção de falhas (bugs) ou da liberação de novas versões e patches de correção, desde que comprovados pelo fabricante da solução, não deverão se encaixar nos prazos estabelecidos acima;

2.4.3.16.A CONTRATADA deverá, de acordo com o nível de criticidade, prover solução paliativa para atender os problemas de falhas (bugs), atualizações ou patches de correção que ainda não foram disponibilizadas pela fabricante, no prazo de 24 (vinte e quatro) horas, para restabelecer o ambiente do CONTRATANTE;

2.4.3.17.A solução definitiva deverá ser disponibilizada no prazo máximo de 60 (sessenta) dias, sendo a CONTRATADA responsável pelos trâmites juntamente a fabricante da liberação das correções.

2.4.3.18.Nas manutenções que necessitem de intervenção para parada física ou reinicialização do equipamento, o CONTRATANTE deverá ser notificado previamente para que faça o agendamento da manutenção e aprovação;

0.0.0.00.Xx paradas de manutenção deverão acontecer fora do horário de expediente, de preferência após a 20 (vinte) horas devendo ser restabelecida antes das 8 (oito) horas da manhã do dia seguinte. Poderá ocorrer durante o dia da semana ou aos finais de semana, sem ônus para o CONTRATANTE;

2.4.3.19.1.Todo o procedimento de manutenção deverá ser documentado, explicando o passo a passo completo e fazendo registro

das ocorrências incoerentes para subsidiar novas paradas que possam acontecer;

2.4.3.19.2.O relatório deverá ser assinado pelo fiscal técnico do contrato ou responsável pelo acompanhamento do serviço por parte do CONTRATANTE.

2.5.Treinamento técnico da Solução de Gerenciamento de vulnerabilidades.

2.5.1.O treinamento técnico da Solução de Gerenciamento de Vulnerabilidades será de, no mínimo, 40 horas, para turma de, no máximo, 10 alunos;

2.5.2.O treinamento, ou parte dele, poderá ser realizado no modelo telepresencial (online por videoconferência), em português, utilizando ferramenta própria disponibilizada pelo contratado (ex.: Microsoft Teams, Cisco Webex, Google Meet, etc.), desde que autorizado pelo Contratante;

2.5.3.O Contratante disponibilizará os computadores a serem utilizados pelos participantes do curso;

2.5.4.A CONTRATADA disponibilizará material didático oficial do curso em formato digital (PDF) aos participantes e quaisquer conteúdos e ferramentas adicionais que venham a ser necessárias para o treinamento;

2.5.5.Caso não haja disponibilidade para realização nos modelos presencial ou telepresencial, a Contratada custeará os gastos de passagens e estadia para o centro de treinamento mais próximo de

Belém.

2.5.6.O treinamento deverá ser ministrado em português, por técnico certificado pelo fabricante da solução, e composto de aulas teóricas e práticas.

2.5.7.A CONTRATADA deverá confeccionar e disponibilizar aos participantes todo o material didático necessário ao treinamento, de todos os módulos que compõem a Solução.

2.5.8.A ementa e material utilizado no treinamento deverão ser enviados previamente ao Tribunal para avaliação e aprovação.

2.5.9.O treinamento deverá desenvolver o conhecimento e habilidades necessárias para fazer uso de todos os recursos disponíveis na Solução adquirida, incluindo, principalmente, a identificação dos Ativos de TI, o SCAN de Vulnerabilidades, Análise do SCAN, Avaliação de Riscos, Aplicação de Políticas, Compliance, dentre outras funcionalidades chaves da Solução.

0.0.00.Xx final do treinamento, deverá ser realizada junto aos participantes uma avaliação do curso. As avaliações deverão ser preenchidas e assinadas pelos alunos e posteriormente entregues ao Tribunal para a assinatura do aceite da Ordem de Serviço do treinamento.

2.5.11.Caso o treinamento seja avaliado como insatisfatório pela maioria dos participantes da turma, o treinamento deverá ser refeito.

2.5.12.Será considerado insatisfatório o treinamento que obtiver maioria dos itens da avaliação de treinamento julgados como RUIM ou

REGULAR, observadas todas as avaliações preenchidas.

2.5.13.O treinamento a ser refeito por ocasião de ter sido mal avaliado não pode gerar novas despesas para o CONTRATANTE.

0.0.00.Xx final do treinamento, cada participante deverá receber um certificado assinado pela CONTRATADA, contendo informações de data, carga horária, conteúdo ministrado, além do nome completo do instrutor, do aluno e da instituição que forneceu o curso, bem como o seu período.

2.5.15.A Contratada deverá fornecer certificado para cada aluno contendo identificação da instituição que forneceu o treinamento, nome do aluno, local do treinamento, período do treinamento, carga horária, nome do instrutor e conteúdo programático.

3.REQUISITO PRÉVIO PARA ADJUDICAÇÃO DO OBJETO

3.1.A proponente classificada em primeiro lugar será convocada para testes de bancada (amostra dos produtos / soluções), a serem realizados em conjunto pelas equipes técnicas da PROPONENTE e do Tribunal;

3.2.Os testes de bancada poderão ter a participação de qualquer dos licitantes interessados no certame, bastando solicitar autorização ao Diretor da Secretaria de Tecnologia da Informação da

contratante, com indicação da empresa, endereço, CNPJ, nome(s) do(s) funcionário(s) que acompanhará(ão) os testes, RG e CPF deste(s);

3.3.Esses testes visam verificar se a solução ofertada atende às especificações requeridas no ambiente de produção real;

0.0.Xx a proponente classificada em primeiro lugar tiver seu produto desclassificado no teste de bancada, será convocada, para a realização do teste, a licitante seguinte, obedecendo a ordem de classificação, e assim sucessivamente, até o completo aceite de uma das soluções ofertadas;

3.5.Os testes devem ser realizados na sede do Tribunal Regional do Trabalho da 8ª Região, Xx. X. Xxxxx X, 000, xxxxxx Xxxxxxxx, Xxxxx- Xxxx, em horário comercial, de segunda a sexta-feira, das 08:00h às 15:00h, em ambiente diverso da produção, com Solução de Gerenciamento de Vulnerabilidades de teste igual ao modelo ofertado pela PROPONENTE no processo de licitação;

3.6.A Solução de Gerenciamento de Vulnerabilidades e demais equipamentos e/ou softwares necessários à execução do Teste de Bancada deverão ser instalados, configurados, operados e acessados pela equipe técnica da licitante convocada, sempre acompanhada e supervisionada por servidores da Secretaria de Tecnologia da Informação do TRT8;

3.7.Os testes devem ser realizados com uma unidade da Solução de Gerenciamento de Vulnerabilidades, não sendo permitido utilizar duas ou mais unidades para atingir o dobro ou aumentar a performance;

0.0.Xx a equipe técnica da proponente não conseguir ativar alguma funcionalidade constantes da especificação técnica durante os testes de bancada, a solução será considerada reprovada;

3.9.Todo e qualquer custo de equipamento, software e equipe técnica disponibilizados para a realização dos testes será de responsabilidade da proponente;

3.10.A proponente deve prover, além da Solução de Gerenciamento de Vulnerabilidades, licenças e infraestrutura necessárias para a completa instalação e execução do teste de bancada;

3.11.Todos os equipamentos ou softwares e produtos que compõem a amostra da solução ofertada deverão estar acompanhados de seus respectivos programas, CDs, manuais, guias de instalação e demais documentos necessários para dirimir dúvidas, a fim de que possam ser realizados procedimentos de verificação de conformidade com as especificações técnicas constantes no edital;

3.12.A qualquer tempo, antes do início ou durante o teste de bancada, a critério da equipe técnica da Secretaria de Tecnologia da Informação do TRT8, a proponente deverá mostrar as configurações efetuadas na amostra, a topologia lógica e física e configurações utilizadas na Solução e geradores de ameaças;

3.13.Durante a realização dos testes, a Solução de Gerenciamento de Vulnerabilidades deve permanecer acessível, possibilitando a modificação e aplicação de scans de vulnerabilidades, bem como a visualização dos relatórios e ferramentas de análise de riscos;

3.14.Caso a Solução utilize o parque computacional do TRT8, durante o teste deverá ser possível a visualização do nível de uso da CPU e

o nível do uso de memória ram do servidor/appliance onde a mesma está instalada;

3.15.Os testes de bancada terão prazo máximo de 15 (quinze) dias úteis, a contar da convocação, distribuídos entre entrega, preparação e execução;

3.16.A proponente deverá iniciar a fase de execução assim que concluir a preparação do ambiente;

3.17.A fase de execução do teste de bancada terá duração máxima de

10 (dez) dias, prazo este incluso no prazo máximo de 15 (dez) dias úteis para a realização do teste;

0.00.Xx final da fase de execução, a proponente deverá ter demonstrado claramente que atende todas as funcionalidades e requisitos técnicos especificados no edital. Não será fornecido novo prazo para teste ao final desta fase;

3.19.Durante a fase de execução, a proponente deverá registrar informações que comprovem o atendimento dos requisitos solicitados no teste de bancada e disponibilizá-las por meio digital para a equipe técnica da Secretaria de Tecnologia da Informação (SETIN) do TRT8, logo após a sua finalização;

3.20.A proponente deve disponibilizar em até 3 (três) dias úteis, contados da data da finalização dos testes, o relatório final com todas as informações e resultados apurados durante os testes;

0.00.Xx relatório final deve constar, no mínimo: informações da amostra que comprovem todos os itens referentes às especificações técnicas e o próprio teste de bancada, informações da topologia do

ambiente de teste utilizado, arquivos, scripts de configuração, versões de softwares utilizados e registro de logs com evidências capturadas. O relatório final deve ser fornecido em meio digital;

3.22.A SETIN emitirá, no prazo de até 5 (cinco) dias, após a entrega do relatório dos testes de amostra, o COMUNICADO que informará se o resultado está ou não de acordo com as especificações técnicas constantes no edital.

3.23.Caso o COMUNICADO indique que o resultado está em total conformidade com as especificações técnicas exigidas, a proponente será classificada;

3.24.Caso o COMUNICADO indique a não conformidade das amostras com as especificações técnicas exigidas, a proponente será desclassificada.

4.REQUISITOS DO PROJETO DE IMPLANTAÇÃO (Art. 4º, II)

4.1.REQUISITOS GERAIS

4.1.1.O serviço de implantação da solução é composto de instalação, ativação, customização, integração, documentação e gerência da implantação dos diversos componentes da Solução, além de definição do processo de administração, gerenciamento dos scans, gerenciamentos dos relatórios, análises de risco, scans de auditoria e compliance e transferência de conhecimento técnico sobre os componentes da Solução.

0.0.0.Xx atividades de instalação, ativação, customização e integração compreendem todos os procedimentos relacionados à instalação, ativação e configuração da Solução, incluindo

parametrização e testes de quaisquer componentes de software fornecidos no escopo do Edital, de modo a garantir o pleno funcionamento da Solução, inclusive garantindo a operacionalização e integração com os demais componentes de hardware, software e comunicação atualmente em uso no ambiente do CONTRATANTE.

4.1.3.Os equipamentos, caso a solução tenha necessidade de appliances, devem possuir as seguintes características: 4.1.3.1.Serem novos e de primeiro uso;

4.1.3.2.Fazerem parte do catálogo de produtos comercializados e não terem sido descontinuados;

4.1.3.3.Não devem estar relacionados em listas “end of sale” e “end of support” do site do fabricante.

4.1.3.4.Os equipamentos, caso sejam necessários, deverão ser compostos de hardware, software, firmware, cabos e acessórios necessários à sua completa instalação, configuração e operação, bem como a respectiva garantia.

4.1.4.Os softwares devem possuir as seguintes características: 4.1.4.1.Todas as licenças, referentes aos softwares e/ou drivers componentes das soluções adquiridas, devem estar em nome da CONTRATANTE, legalizado, não sendo admitidas versões “shareware” ou “trial”.

0.0.0.Xx atividades de definição do processo de Gerenciamento de Vulnerabilidades compreendem:

4.1.5.1.Avaliar 4.1.5.1.1.Identificação de ativos; 4.1.5.1.2.Scan de vulnerabilidades; 4.1.5.1.3.Relatório.

4.1.5.2.Priorizar 4.1.5.2.1.Atribuição de Xxxxx; 4.1.5.2.2.Exposição à riscos;

4.1.5.2.3.Identificação de ameaças. 4.1.5.3.Agir

4.1.5.3.1.Remediação; 4.1.5.3.2.Mitigação; 4.1.5.3.3.Aceitação dos riscos. 4.1.5.4.Reavaliar 4.1.5.4.1.Rescan;

4.1.5.4.2.Validação. 4.1.5.5.Melhorar 4.1.5.5.1.Avaliar métricas;

4.1.5.5.2.Evoluir processos e SLAs; 4.1.5.5.3.Eliminar problemas subjacentes.

0.0.0.Xx atividades de gerenciamento de vulnerabilidades compreendem o ciclo completo descrito nos itens acima, para cada tipo de ativo dos itens de 1 a 4 deste processo de aquisição.

4.1.7.Todos os documentos da solução devem ter o ACEITE pelo CONTRATANTE.

4.1.7.1.Deverão ser fornecidas todas as documentações e manuais, drivers, cabos, placas, softwares e outros dispositivos necessários à instalação, configuração e o perfeito funcionamento do equipamento, mesmo que não especificados.

4.1.7.2.A documentação e manuais técnicos deverão estar em Português Brasileiro ou Inglês, preferencialmente nesta ordem. Deverão ser fornecidos materiais técnicos e manuais em formato digital que permita a importação para base de conhecimento online (Microsoft Word, PDF, HTML, etc).

4.1.8.Todas as atividades relacionadas à implantação da Solução serão prestadas nos dois datacenters do CONTRATANTE, denominados de site primário e site backup, ambos localizados na Secretaria de Tecnologia do CONTRATANTE, situada em Belém-Pa, Xx. X. Xxxxx X, 000, xxxxxx Xxxxxxxx, XXX 00000-000. Todos os componentes da Solução (software,

documentação etc.) deverão ser entregues no mesmo endereço, e nos seguintes endereços dos Órgãos coparticipantes:

a)TRIBUNAL REGIONAL DO TRABALHO DA 13ª REGIÃO:

Endereço: Xx. Xxxxxxx Xxxxxx xx Xxxxxxxx, X/X, Xxxxxx. Xxxx Xxxxxx/XX 00.000-000.

Telefone:(00) 0000-0000

E-mail: xxxxxxxx@xxx00.xxx.xx

b)TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO:

Endereço: Xxx X-00, xxx. com X-00, x. 0000, Xxxxx Xxxxx.

Telefone:(00) 0000-0000

E-mail: xxxxxxx.xxxxxxxx@xxx00.xxx.xx

c)TRIBUNAL REGIONAL DO TRABALHO DA 6ª REGIÃO:

Endereço: Xxx Xxxxxxxxxxx, 000, Xxxxxxxx, 00000-000, Xxxxxx/XX.

Telefone:(000) 0000-0000

E-mail: xxxxxx@xxx0.xxx.xx

d)TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO:

Endereço: Xxx Xxxxxxxx Xxxxxx Xxxxxxx Xxxxxx xx Xxxxxxxx, 000.Xxxxx Grande/MS.CEP 79.031-908.

Telefone:(00) 00000-0000

E-mail: xxxxxxxx@xxx00.xxx.xx, xxxxxxxxxx@xxx00.xxx.xx

e)TRIBUNAL REGIONAL DO TRABALHO DA 17ª REGIÃO:

Endereço: Avenida Nossa Senhora dos Navegantes, nº 1245, Enseada do Suá, Vitória/ES, XXX 00.000-000.

Telefone:(00) 0000-0000 / 0000-0000 E-mail: XXXXX@XXXXX.XXX.XX

f)TRIBUNAL REGIONAL DO TRABALHO DA 21ª REGIÃO:

Endereço: Xx. Xxxxxxx-Xxx Xxxxxxx, 0000.Xxxxx Nova. Natal/RN, CEP: 59.063-900.

Telefone:(000) 0000-0000 /(000)0000-0000

E-mail: xxxx@xxx00.xxx.xx

g)TRIBUNAL REGIONAL DO TRABALHO DA 12ª REGIÃO:

Endereço: Xxx Xxxxxxx Xxxxxx, 000, Xxxxxx – Florianópolis/SC CEP: 88.015-

905 .

Telefone:(000) 0000-0000

E-mail: xxxxxx.xxxx@xxx00.xxx.xx / xxxxx@xxx00.xxx.xx

h) TRIBUNAL REGIONAL DO TRABALHO DA 15ª REGIÃO:

Endereço: Xxx Xx. Xxxxxxx 0000, 0x xxxxx, Xxxxxx, Xxxxxxxx, XXX 00.000-

081.

E-mail: xxxxxxx@xxx00.xxx.xx

i)TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO:

Endereço: Xxx Xxxxxxxxxxxxx Xxxxx Xxxxxxxxxxx, xx 0000, Xxxxx X, 0xXxxxx,

Xxxxxxx, Xxxxxxxxx/ CE.CEP: 60.150-150. Telefone:(00) 0000-0000

E-mail: xxxxxxxxx.xxxxx@xxx0.xxx.xx

j)TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO:

Endereço:Av. Xxxxxxx Xxxxxx, 225, Bairro: Funcionários, Belo

Horizonte/MG. CEP:30.112-900. Telefone:(00) 0000-0000

E-mail: xxxx@xxx0.xxx.xx

k)TRIBUNAL REGIONAL DO TRABALHO DA 19ª REGIÃO:

Endereço: Xxx Xxxxxxxxxxxxx Xxxxx Xxxx, xx 000, Xxxxxx Xxxxxx, Xxxxxxx,

XXX 00.000-000.

Telefone:(82) 0000- 0000

E-mail: xxxxxx.xxxxx@xxx00.xxx.xx

l)TRIBUNAL REGIONAL DO TRABALHO DA 22ª REGIÃO:

Endereço: Av. Xxxx XXXXX, 1460, bairro dos Noivos Teresina-PI, Cep:

64.045-000.

Telefone:(00)0000-0000

E-mail: xxxxxxxx.xxxxxx@xxx00.xxx.xx

m)TRIBUNAL REGIONAL DO TRABALHO DA 20ª REGIÃO:

Endereço: Av. Xxxxxx Xxxxxxxxx xx Xxxx, s/nº – Capucho, Aracaju/SE - CEP:

49.081-015.

Telefone:(000) 0000 0000 / 00000 0000

E-mail: xxxx@xxx00.xxx.xx

n) TRIBUNAL REGIONAL DO TRABALHO DA 5ª REGIÃO:

Endereço: Rua do Cabral, 161, Ed. Presidente Xxxxxx, 4º andar, SETIC, Nazaré, XXX 00.000-000 – Salvador – Ba.

Telefone: (71) 3319 - 7540

E-mail: xxxx.xxxxxxxx@xxx0.xxx.xx

o)TRIBUNAL REGIONAL DO TRABALHO DA 11ª REGIÃO:

Endereço: Xx. Xxxx xx 000, 0x xxxxx – Xxxxx 00 xx Xxxxxxx. Manaus/AM. CEP: 69.020-015.

Telefone: ((00) 0000-0000 / 0000-0000

E-mail: xxxxxxxxx@xxx00.xxx.xx / xxxxx@xxx00.xxx.xx

4.1.9.A CONTRATADA deverá acolher imediatamente as notificações acerca de quaisquer inconsistências entre os componentes entregues e os previstos na sua proposta técnica. Ao término da conferência de todos os componentes da Solução, o CONTRATANTE fornecerá à CONTRATADA documento atestando o recebimento e conferência dos componentes da Solução.

4.1.10.Caso a empresa verifique a impossibilidade de cumprir com o prazo de entrega estabelecido, deverá encaminhar ao Tribunal solicitação de prorrogação de prazo de entrega, da qual deverão constar:

4.1.10.1.Motivo do não cumprimento do prazo, devidamente comprovado, e o novo prazo previsto para entrega;

4.1.10.2.A comprovação de que trata esta cláusula deverá ser promovida não apenas pela alegação da empresa CONTRATADA, mas por meio de documento que relate e justifique a ocorrência que ensejará o descumprimento de prazo, tais como: carta do fabricante / fornecedor, laudo técnico de terceiros, Boletim de Ocorrência de Sinistro, ou outro equivalente.

4.1.10.3.A solicitação de prorrogação de prazo será analisada pelo

Tribunal na forma da lei e de acordo com os princípios de razoabilidade e proporcionalidade, informando-se à empresa da decisão proferida. Em caso de negação da prorrogação do prazo de entrega, e caso não cumpra o prazo inicial, o fornecedor ficará sujeito às penalidades previstas para atraso na entrega.

4.1.11.Todos os componentes devem ser entregues, instalados, ativados, configurados e colocados em operação nos locais designados pelo CONTRATANTE e nas condições exigidas por este Termo de Referência.

4.1.12.Todos os componentes de software necessários para atender as funcionalidades exigidas no Edital, mesmo que não estejam especificados e cotados na proposta, serão considerados como parte integrante dos serviços de instalação e deverão ser fornecidos sem ônus adicional para o CONTRATANTE.

4.1.13.A CONTRATADA deverá criar e manter atualizada documentação das atividades, processos, testes, entrega e conferência, encontros de trabalho, compromissos e prazos, atas, além de outros artefatos de gerenciamento de projetos de modo a compor uma documentação final da implantação a ser entregue ao CONTRATANTE no final do processo. Toda a documentação gerada no escopo do projeto deverá estar no idioma Português.

4.1.14.O CONTRATANTE se reserva o direito de redefinir, a qualquer momento da implantação, quaisquer fases, ações, prazos e recursos envolvidos, objetivando a garantia de atendimento dos parâmetros de qualidade, segurança, mitigação de riscos e atendimento de prazos, cabendo à CONTRATADA adequar-se às modificações propostas, refazendo atividades e documentação, caso necessário, desde que essas não extrapolem o escopo dos serviços preconizados no Edital e seus Anexos.

4.1.15.A CONTRATADA será responsável pela execução de quaisquer

procedimentos de diagnóstico e solução de problemas relacionados aos serviços de implantação dos componentes da Solução objeto do Edital. Caso o diagnóstico aponte para problemas não relacionados aos componentes da Solução, o CONTRATANTE deverá adotar as medidas necessárias para solucioná-los, desde que devidamente comprovados pela CONTRATADA, e sempre a critério do CONTRATANTE.

4.1.16.Serão de inteira responsabilidade e a expensas da CONTRATADA, sem nenhum custo adicional para o CONTRATANTE: 4.1.16.1.Atividades de prospecção, concepção, projeto, planejamento e implementação necessários à adequada implantação da Solução; 4.1.16.2.Implantação da Solução, incluindo o apoio e suporte técnico e logísticos eventualmente necessários ao adequado funcionamento da Solução;

4.1.16.3.Alocação de profissionais qualificados e todas as obrigações trabalhistas relacionadas;

4.1.16.4.Configuração lógica dos componentes da Solução proposta de forma a viabilizar integralmente os testes a serem realizados como parte da homologação da Solução e o adequado funcionamento em

ambiente de produção;
4.1.16.5.Demonstração de	todas as características	técnicas	e
funcionalidades previstas	na contratação, durante	a fase	de
implantação da Solução;
4.1.16.6.Identificação do	quadro de profissionais	alocados	na

disponibilização da Solução;

4.1.16.7.Todo o ônus relativo a transporte, alimentação e hospedagem de profissionais, transporte e instalação dos equipamentos, ligações telefônicas para suporte técnico, disponibilização de ferramentas (físicas e lógicas) além de insumos diversos requeridos durante quaisquer das fases de implantação e homologação da Solução;

4.1.17.A CONTRATADA deverá possuir experiência e estar qualificada a prestar adequadamente os serviços de implantação da Solução, conforme comprovações que deverão ser fornecidas nos termos do Edital.

4.1.18.O quadro de profissionais alocados pela CONTRATADA deverá atender às demandas por serviços de gerenciamento de projeto, execução e apoio às atividades de conferência, planejamento e implantação da Solução;

4.1.18.1.Os certificados, diplomas, declarações e outros documentos que atestem a escolaridade e competências dos profissionais que atuarão na implantação da Solução deverão ser entregues por ocasião da assinatura do contrato, através de cópias autenticadas em cartório;

4.1.18.2.Os profissionais alocados pela CONTRATADA deverão portar crachá de identificação da empresa contratada, com foto, durante a permanência nas dependências do CONTRATANTE.

4.1.18.3.A CONTRATADA deverá apresentar, por ocasião da assinatura do contrato, no mínimo 1 (um) Gerente de Projetos, funcionário ou contratado da empresa, que será o líder e responsável pela entrega dos serviços de planejamento e implantação da Solução, de modo a garantir a qualidade dos resultados e o atendimento aos requisitos e prazos estipulados no Edital. O Gerente de Projetos deve atender no mínimo aos seguintes requisitos:

4.1.18.3.1.Deve possuir escolaridade de nível superior completo; 4.1.18.3.2.Deve possuir certificação PMP – Project Management Professional do PMI – Project Management Institute ou possuir MBA – Master of Business Administration em Gerência de Projetos;

4.1.18.4.A CONTRATADA deverá apresentar, por ocasião da assinatura do contrato, no mínimo 1 (um) Responsável Técnico, funcionário ou contratado da empresa, que será o líder técnico, responsável pela

prospecção, elaboração e implantação da Solução, além de responder por questões técnicas atinentes à Solução. Esse profissional deve possuir qualificação técnica comprovada, conforme requisitos descritos abaixo:

4.1.18.4.1.O Responsável Técnico deve possuir escolaridade de nível superior completo;

4.1.18.4.2.Deve possuir no mínimo certificação emitida pelo fabricante da principal solução proposta;

4.2.PRAZOS

4.2.1.A CONTRATADA deverá considerar o cronograma de eventos e prazos abaixo apresentado para a implantação da Solução. Os prazos apresentados são considerados como máximos, não impedindo, pois, que sejam cumpridos em prazos menores.

4.2.2.Todos os termos de aceitação a serem entregues pelo CONTRATANTE estão condicionados à prévia entrega dos componentes e realização das atividades em conformidade com os requisitos do Edital e dentro dos prazos estabelecidos.

#	EVENTO	RESPONSÁVEL	PRAZO
1	Assinatura do Contrato.	CONTRATANTE e CONTRATADA	Até 5 (cinco) dias após a convocação pelo CONTRATANTE.
2	Entrega de todos os componentes da Solução.	CONTRATADA	Até 30 (trinta) dias após o evento 1.
3	Conferência dos componentes da solução.	CONTRATANTE	Até 05 (cinco) dias após o evento 2.
4	Entrega do Plano de	CONTRATADA	Até 10 (dez) dias após

	Implantação.		o evento 1.
5	Aceite do Plano de Implantação.	CONTRATANTE	Até 05 (cinco) dias após o evento 4.
6	Implantação da Solução – Homologação.*	CONTRATADA	Até 10 (dez) dias úteis após o evento 3.
7	Implantação da Solução – Planejamento.*	CONTRATADA	Até 05 (cinco) dias úteis após o evento 6.
8	Operação Assistida.*	CONTRATANTE e CONTRATADA	Até 05 (cinco) dias úteis após o evento 7.
9	Emissão do Termo de Aceitação Definitiva (TAD) da Implantação.	CONTRATADA	Até 5 (cinco) dias úteis após o evento 8.

* O detalhamento das etapas constam no item 4.4.

4.3.PLANEJAMENTO DA IMPLANTAÇÃO DA SOLUÇÃO

4.3.1.PLANO DE GERENCIAMENTO DO PROJETO

4.3.1.1.A CONTRATADA deverá apresentar ao CONTRATANTE, em reunião própria, quando da entrega da versão inicial do Plano de Implantação da Solução, documentos de gerenciamento do projeto com as informações necessárias para fornecer subsídios que possibilitem controle efetivo do projeto a serem validados pelo CONTRATANTE. São eles:

4.3.1.1.1.Declaração do escopo do projeto; 4.3.1.1.2.Cronograma do Projeto; 4.3.1.1.3.Relatório de Status do Projeto; 4.3.1.1.4.Ata de Reuniões.

4.3.1.2.A CONTRATADA deverá manter atualizada toda a documentação gerada pelo projeto e disponibilizá-la ao CONTRATANTE sempre que

requerida.

4.3.2.PLANO DE IMPLANTAÇÃO DA SOLUÇÃO

4.3.2.1.O Plano de Implantação da Solução deverá descrever os procedimentos e prazos necessários para a execução das atividades de implantação. Deverá ser composto, no mínimo, pelo seguinte documento:

4.3.2.1.1.Desenho da Arquitetura da Solução, contemplando: a topologia dos clusters de máquinas hospedeiras (hosts), das interconexões lógicas LAN (Local Area Network) e SAN (Storage Area Network).

4.3.2.2.O Plano de Implantação da Solução deverá considerar a instalação em alta disponibilidade, com cluster ativo – ativo, no site principal e site backup, com redundância da base de dados entre os sites.

4.3.2.3.O Plano de Implantação da Solução deverá contemplar as atividades de monitoramento, backup e restore.

4.4.IMPLANTAÇÃO DA SOLUÇÃO

4.4.1.HOMOLOGAÇÃO

4.4.1.1.A CONTRATADA deverá realizar, em ambiente integrado ao ambiente de produção do CONTRATANTE, a disponibilização da Solução, para fins de testes e homologação dos requisitos e funcionalidades implantados, objetivando averiguar a compatibilidade e o comportamento adequado da Solução.

4.4.1.2.A Solução deverá estar interligada aos comutadores SAN e LAN de produção do CONTRATANTE.

4.4.1.3.Devem ser criados usuários de acesso à Solução para que a CONTRATANTE avalie a instalação e utilização da Solução.

4.4.1.4.A Solução utilizada para a homologação deverá contemplar

todos os tipos de componentes, de forma que seja possível homologar todas as suas funcionalidades, de Gerenciamento de Vulnerabilidades.

4.4.1.5.A Solução utilizada para a homologação deverá funcionar por um período mínimo de 48h (quarenta e oito horas), em dias úteis, sem que haja nenhum tipo de incidente ou falha. Transcorridas as 48h sem a ocorrência de falhas o CONTRATANTE considerará a Solução homologada.

4.4.1.6.O CONTRATANTE definirá o encerramento da etapa de homologação através de comunicação formal ao CONTRATADO, permitindo o avanço dos trabalhos para a etapa seguinte.

4.4.2.PLANEJAMENTO:

4.4.2.1.A CONTRATADA deverá auxiliar diretamente a CONTRATANTE nas seguintes atividades, que fazem parte do ciclo de gerenciamento de vulnerabilidades:

4.4.2.2.Determinar o escopo do gerenciamento de vulnerabilidades; 4.4.2.3.Definir papéis e responsabilidades;

4.4.2.4.Selecionar as ferramentas adequadas à detecção de vulnerabilidades em cada item do escopo;

4.4.2.5.Criar políticas e acordos de níveis de serviços necessários;

4.4.2.6.Identificar fontes e ativos correlacionados.

4.4.3.OPERAÇÃO ASSISTIDA

4.4.3.1.Após a conclusão de Homologação e Planejamento da Solução, a CONTRATADA deverá acompanhar presencialmente a operação junto com o CONTRATANTE para fins de consultoria e auxílio nos procedimentos: 4.4.3.1.1.SCAN de Vulnerabilidades;

4.4.3.1.2.Análise do SCAN e Relatórios; 4.4.3.1.3.Avaliação de Riscos; 4.4.3.1.4.Aplicação de Políticas; 4.4.3.1.5.Compliance;

4.4.3.1.6.Dentre outras funcionalidades chaves da Solução.

5.REQUISITOS DE GARANTIA E MANUTENÇÃO (Art. 4º, III)

5.1.Considera-se como garantia, escrita nos itens 1 a 4 do lote, a reparação para quaisquer falhas dos equipamentos fornecidos, compreendendo os defeitos decorrentes de projeto, fabricação, construção, montagem, acondicionamento ou desgaste prematuro, envolvendo, obrigatoriamente a substituição de peças, de acordo com os manuais e normas técnicas para os equipamentos.

5.2.Os produtos fornecidos pela CONTRATADA, itens 1 a 4 do lote, deverão estar cobertos por garantia do fabricante, além de manutenção corretiva e atualizações de versões para todos os produtos (hardware e software), pelo período de 60 (sessenta) meses contados a partir da data de assinatura do Termo de Recebimento Definitivo.

5.3.A CONTRATADA deverá apresentar comprovação formal da aquisição da garantia técnica junto ao fabricante, abrangendo todos os equipamentos e software(s) da solução. A entrega da garantia técnica do fabricante não exclui a responsabilidade da CONTRATADA da prestação de suporte da solução.

5.4.A assistência técnica da garantia consiste na reparação, on site, das eventuais falhas dos equipamentos, mediante a

substituição de peças, componentes e acessórios que se apresentem defeituosos de acordo com os manuais e normas técnicas específicas para os equipamentos. No caso do modelo do equipamento ter sido descontinuado, um similar será aceito, desde que possua as características técnicas iguais ou superiores às exigidas no edital.

5.5.O serviço de garantia deverá abranger os defeitos de hardware e de software, através de manutenção preventiva ou corretiva, incluindo a substituição de peças, partes, componentes e acessórios, sem representar quaisquer ônus para o Tribunal.

5.6.Os serviços de garantia serão solicitados mediante a abertura de chamado via e-mail, web site ou chamada telefônica local ou gratuita, ao fabricante ou à empresa autorizada, em qualquer caso em português, devendo o serviço permanecer disponível em tempo integral, a qualquer horário e em qualquer dia da semana.

5.7.Caso os serviços de assistência técnica da garantia não possam ser executados nas dependências do CONTRATANTE, o equipamento avariado poderá ser removido para o centro de atendimento da CONTRATADA. A CONTRATADA deverá fazer a justificativa por escrito relacionando os problemas apresentados que deverá ser apresentada ao setor competente do CONTRATANTE que fará o aceite e providenciará a autorização de saída do equipamento, desde que o mesmo seja substituído por outro equivalente ou de superior configuração, durante o período de reparo. O equipamento retirado para reparo deverá ser devolvido no prazo de 05 (cinco) dias úteis contados a partir da sua retirada.

5.8.Caso o equipamento não possa ser reparado dentro dos prazos

previstos, deverá ser providenciado pela CONTRATADA a colocação de equipamento equivalente ou de configuração superior como backup, até que seja sanado o defeito do equipamento em reparo.

5.9.Entende-se por término do atendimento a disponibilidade do equipamento para uso em perfeitas condições de funcionamento no local onde está instalado, estando condicionado à aprovação do CONTRATANTE, através do setor competente.

5.10.Antes de findar o prazo fixado, a CONTRATADA poderá formalizar pedido de prorrogação, cujas razões expostas serão examinadas pelo CONTRATANTE, que decidirá pela dilação do prazo ou aplicação das penalidades previstas no contrato.

5.11.A devolução de qualquer equipamento retirado para reparo deverá ser comunicada por escrito ao CONTRATANTE.

5.12.Caso necessário, todas as partes e peças deverão ser substituídas pelos serviços de garantia, através de funcionários habilitados e credenciados para tal. Não serão aceitos o envio de peças/equipamentos pelos Correios, para que haja substituição por parte do CONTRATANTE. O CONTRATANTE não se responsabiliza por quaisquer danos aos equipamentos, que possam vir a ocorrer caso seja utilizada a prática de postagem pelos Correios.

5.13.Toda e qualquer substituição de peças e componentes será de responsabilidade da CONTRATADA e deverá ser acompanhada por funcionário designado pelo CONTRATANTE, que autorizará a substituição das peças e componentes, os quais deverão ser novos e originais.

5.14.Após a conclusão da manutenção de qualquer equipamento, a

CONTRATADA deverá gerar documento relatando as substituições de peças e componentes, contendo a identificação do chamado técnico, a data e hora do início e término do atendimento.

5.15.A CONTRATADA deverá comunicar ao CONTRATANTE, por escrito, sempre que constatar condições inadequadas de funcionamento ou má utilização a que estejam submetidos os equipamentos fornecidos, fazendo constar a causa de inadequação e a ação devida para sua correção.

5.16.A CONTRATADA deverá substituir o equipamento já instalado, por um novo e de primeiro uso, no prazo máximo de 15 (quinze) dias úteis, na hipótese do mesmo equipamento apresentar, dentro de um período de 60 (sessenta) dias corridos, 02 (duas) ocorrências de defeito por inoperância do produto ou 03 (três) ocorrências de defeito operacional do produto.

5.17.Durante todo o período da garantia a CONTRATADA atualizará, ou disponibilizará para download, sem ônus adicional para o CONTRATANTE, softwares necessários para o funcionamento dos equipamentos, fornecendo todas as novas versões ou releases lançados pelo fabricante. Os softwares tratados neste item incluem firmware (imagens) e boot. A atualização, ou disponibilização para download, deverá ocorrer em um prazo máximo de 15 (quinze) dias úteis a contar da data de lançamento da nova versão ou release.

5.18.Caso a nova versão ou release seja disponibilizada para download, todo suporte visando instalação e configuração deverá ser prestado pela CONTRATADA.

6.CLASSIFICAÇÃO DO SOFTWARE

0.0.Xxxxxxxx sem vida útil definida.