ANEXO I
ANEXO I
TERMO DE REFERÊNCIA
OBJETO
CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA
Contratação de suporte para estruturação da segurança da informação, incluindo, diagnósticos, análises, avaliações e testes de penetração (Intrusão) com fornecimento de relatórios específicos de avaliação de vulnerabilidades expostas em aplicações no ambiente WEB.
Será contratado banco de horas, onde através de OS (Ordem de Serviço) serão debitadas as horas devidas para cada análise.
Antes de cada solicitação de OS a Contratada e a Contratante fecharão o escopo da análise, bem como definição das horas consumidas.
Dentro das horas firmadas nas OS´s estarão computadas todas as etapas dos testes, desde execução e apresentação dos relatórios.
A OS somente será considerada aberta após fechamento do escopo e das horas consumidas, com aval das partes.
TABELA DE COMPOSIÇÃO DOS ITENS
Item | Características | Quantidade |
1 | Atividades Técnicas de Avaliação de Vulnerabilidade | |
Teste de Penetração (Pentest) | 1000 horas |
DESCRIÇÃO DETALHADA PARA TESTES DE PENETRAÇÃO (Pentest)
1.1. A atividade de Testes de Invasão poderá ser do tipo Externo e Interno e terá como objetivo principal identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades nos sistemas, processos e ativos de infraestrutura tecnológica. Estes testes envolvem, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e privilegiado aos ativos e informações. Para a realização dos testes de invasão deverão ser observadas as orientações e técnicas emanadas pelos seguintes padrões internacionais, além de outros apresentados pela empresa contratada, caso haja, em seu portfólio, normativos que, comprovadamente, complementem os demonstrados abaixo:
1.1.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual);
1.1.2. ISSAF/PTF (Information Systems Security Assessment Framework);
1.1.3. NIST Special Publication 800-115 (Technical Guide to Information Security Testing and Assessment);
1.1.4. NIST Special Publication 800-42 (Guideline on Network Security Testing);
1.1.5. OWASP TESTING GUIDE 3.0 - The Open Web Application Security Project.
1.2. O teste de invasão deverá obedecer às seguintes fases:
1.2.1. Planejamento;
1.2.2. Descoberta;
1.2.3. Ataque (exploração);
1.2.4. Relatório de recomendações;
1.2.5. Reunião para apresentação do relatório de recomendações e descrição das atividades executada durante o teste
1.2.6. Reavaliação, novo teste pós remediação
1.2.7. Relatório final pós remediação
1.3. A Contratada deverá observar que os testes, simulações de invasão ilícita e não autorizada a ativos e informações (Teste de Invasão), serão executados internamente (qualquer ponto da rede corporativa da Prefeitura da Cidade de São Paulo definido pela Contratada) ou externamente (através da Internet).
1.4. Os alvos dos “Testes de Invasão” bem como as premissas e condições para realização dos mesmos serão, necessariamente, definidos e aprovados.
1.5. Todas as fases dos “Testes de Invasão” serão acompanhadas e supervisionadas a critério da CONTRATANTE.
1.6. Quaisquer atividades com suspeita de comprometimento de algum ambiente ou ativo deverá ser imediatamente reportada, antes de sua execução, haja vista a necessidade de manter a disponibilidade dos ambientes e serviços ativos.
1.7. Deverá ser utilizada, pelo menos, 01 (uma) ferramenta de análise de vulnerabilidade comercial e 01 (uma) ferramenta de análise de vulnerabilidade gratuita, além de técnicas manuais de análise de vulnerabilidade. As ferramentas deverão ser apresentadas para ciência e aprovação em sua utilização, antes de sua efetiva utilização, assim como a metodologia para análise manual de vulnerabilidades.
1.7.1. A ferramenta de análise de vulnerabilidade comercial deverá contemplar, ao menos, as seguintes características:
1.7.1.1. Prover identificação e correlação de ameaças, além de avaliar o potencial risco das vulnerabilidades encontradas;
1.7.1.2. Fornecer evidências de ativos “não vulneráveis” através de provas conclusivas como:
1.7.1.2.1. Resultados de varreduras esperados e obtidos;
1.7.1.2.2. Lista de ativos não analisados;
1.7.1.2.3. Falhas nas varreduras;
1.7.1.3. A solução de análise de vulnerabilidades não deve ser baseada na necessidade de instalação prévia de agentes no ambiente corporativo;
1.7.1.4. Resultados de varredura enviados para o banco de dados através da rede corporativa devem ser criptografados;
1.7.1.5. Fornecer cobertura de conteúdo para executar verificações com autenticação e sem autenticação;
1.7.1.6. Suportar métricas de pontuação baseadas em risco;
1.7.1.7. Suportar o armazenamento seguro de credenciais, para uso em varreduras autenticadas, usando as credenciais para se autenticar em sistemas Windows, UNIX ou qualquer ativo de infraestrutura, tais como dispositivos de rede, etc.;
1.7.1.8. Permitir o acesso seguro ao back-end do banco de dados de modo a permitir a mineração de dados para possíveis relatórios personalizados que sejam solicitados;
1.7.1.9. Deve ser certificado pelo EAL Common Criteria e validar a criptografia FIPS-140-2;
1.7.1.10. O processo de varredura deve ter um impacto mínimo sobre a rede, não superior a 10 Mbps de tráfego;
1.7.1.11. Permitir o ajuste de desempenho para adequar a quantidade de banda consumida na rede durante a varredura de análise de vulnerabilidades, tanto para a realização de varreduras que consumam menos recursos, como para a realização de varreduras mais rápidas que consomem mais recursos;
1.7.1.12. A descrição de vulnerabilidade deve possuir no mínimo os seguintes detalhes:
1.7.1.12.1. Nome
1.7.1.12.2. Nível de Risco
1.7.1.12.3. Intrusiva (sim / não)
1.7.1.12.4. Descrição
1.7.1.12.5. Observação
1.7.1.12.6. Recomendação de Remediação 1.7.1.12.7. Link do patch ou da correção
1.7.1.12.8. Número CVE
1.7.1.12.9. SANS / FBI referência Top 20
1.7.1.12.10. IAVA (Information Assurance Vulnerability Alert) Referência
1.7.1.13. Realizar análise de vulnerabilidades segundo as seguintes tecnologias:
1.7.1.13.1. XCCDF
1.7.1.13.2. OVAL
1.7.1.13.3. CVSS
1.7.1.13.4. CVE
1.7.1.13.5. CPE
1.7.1.13.6. CCE
1.7.1.14. Fornecer extensão para varredura de aplicações Web totalmente integrada a solução de análise de vulnerabilidades;
1.7.1.15. Possuir capacidade de descoberta e geração de inventário de servidores e aplicações Web através do rastreamento (crawling) de servidores Web e seus conteúdos, a fim de identificar e analisar seu conteúdo, resultando em uma lista categorizada de servidores Web e os objetos que residem neles;
1.7.1.16. Fornecer visualização da aplicação web através de relatório de 'mapa do site';
1.7.1.17. Fornecer análise detalhada de scripts e páginas estáticas descobertas em servidores web analisados que reflete as strings de
conexão de banco de dados, endereços de e-mail, campos de formulário ocultos e outros itens potencialmente sensíveis;
1.7.1.18. Suporte para Web 2.0 / JavaScript;
1.7.1.19. Suportar autenticação para varredura de aplicações web protegidas por credenciais;
1.7.1.20. Gerar relatórios que ilustrem: request made, injection point, response given;
1.7.1.21. Fornecer suporte para Varredura em 'modo seguro'.
1.8. Deverá realizar testes de vulnerabilidades e invasão em endereços IP’s, URL´s, aplicações, ou outro ativo definido do ambiente computacional, composto por servidores, banco de dados, ativos de rede e outros equipamentos relacionados ao teste de invasão.
1.9. Deverá ser elaborado o “PLANO DE TESTE DE PENETRAÇÃO”, para cada teste que será realizado, contemplando as informações de PLANEJAMENTO do teste, tais como:
1.9.1. Objetivos, premissas e escopo do teste, datas e horas dos testes, metodologia de análise de vulnerabilidades, descrição das ações realizadas, metodologias, vulnerabilidades encontradas, categorização e severidade das vulnerabilidades, possíveis problemas aplicáveis, recomendações e controles de segurança necessários para correção das vulnerabilidades, apresentação das evidências apuradas, fontes de pesquisa, referências e ferramentas utilizadas.
1.9.2. Também na fase de planejamento, deverão ser atendidas e apresentadas, no mínimo, as seguintes informações:
1.9.2.1. Detalhes da infraestrutura alvo dos testes de invasão;
1.9.2.2. Equipamentos e recursos demandados para este teste;
1.9.2.3. Tipos de ataque;
1.9.2.4. Prazos (janelas de tempo para execução dos testes);
1.9.2.5. Pontos de contato da contratada (responsáveis para tratamento de questões não abordadas nos testes);
1.9.2.6. Tipos de testes a serem realizados pelos especialistas em segurança da informação, devendo-se observar:
1.9.2.6.1. Quanto à abordagem:
1.9.2.6.1.1. Coletar informações sobre o ambiente corporativo, utilizando-se das seguintes técnicas;
1.9.2.6.1.2. Técnica da caixa-preta (pouco ou nenhum conhecimento sobre o ambiente a ser avaliado. O ambiente deverá ser descoberto pelo especialista);
1.9.2.6.1.3. Técnica da caixa branca (o avaliador tem acesso irrestrito a qualquer informação que possa ser relevante ao teste);
1.9.2.6.1.4. Técnica da caixa cinza ou híbrida (conhecimento limitado sobre o alvo);
1.9.2.6.2. Quanto à forma de publicidade:
1.9.2.6.2.1. Teste informado;
1.9.2.6.2.2. Teste não informado;
1.9.2.6.2.3. Informações detalhadas dos testes em si;
1.9.3. Na fase da DESCOBERTA deverão ser atendidos os seguintes quesitos e apresentado “RELATÓRIO DE DESCOBERTA DE TESTE DE PENETRAÇÃO”, entre outros:
1.9.3.1. Coleta de informações, sendo classificadas em:
1.9.3.2. Coleta passiva, onde deverá ser utilizada, no mínimo, as seguintes técnicas:
1.9.3.3. Whois e nslookup (consultas DNS);
1.9.3.4. Sites de busca;
1.9.3.5. Listas de discussão;
1.9.3.6. Blogs de colaboradores;
1.9.3.7. Dumpster diving ou trashing;
1.9.3.8. Informações livres;
1.9.3.9. Packet sniffing “passive eavesdropping”;
1.9.3.10. Captura de banner.
1.9.3.11. Coleta ativa, onde deverá ser utilizada, no mínimo, as seguintes técnicas:
1.9.3.11.1. Port scanning (Mapeamento de rede);
1.9.3.11.2. Varredura de vulnerabilidade.
1.9.3.12. A varredura de vulnerabilidade deverá verificar/identificar, entre outros:
1.9.3.12.1. Hosts ativos na rede;
1.9.3.12.2. Portas e serviços em execução;
1.9.3.12.3. Serviços ativos e vulneráveis nos hosts;
1.9.3.12.4. Sistemas operacionais;
1.9.3.12.5. Vulnerabilidades associadas com sistemas operacionais e aplicações descobertas;
1.9.3.12.6. Configurações feitas nos hosts sem observância de boas práticas em segurança computacional;
1.9.3.12.7. Identificação de rotas e estimativa de impacto, caso estas sejam modificadas/desconfiguradas;
1.9.3.12.8. Identificação de vetores de ataque e cenários para exploração;
1.9.3.12.9. Vulnerabilidades Detectadas (CVE);
1.9.3.12.10. Vulnerabilidades de Alto Risco;
1.9.3.12.11. Vulnerabilidades de Xxxxx Xxxxx;
1.9.3.12.12. Vulnerabilidades de Baixo Risco;
1.9.3.12.13. Informações a serem aplicadas na 3ª fase (fase de ataques);
1.9.3.13. Dos serviços e aplicações web:
1.9.3.13.1. Uso indevido de sistema de arquivos e arquivos temporários;
1.9.3.13.2. Evasão de informação por configurações default de tratamento de erros;
1.9.3.13.3. Tratamento indevido de entrada;
1.9.3.13.4. Problemas relacionados à má configuração dos serviços;
1.9.3.13.5. Gerenciamento inseguro de sessões web;
1.9.4. Na fase de ATAQUE deverão ser apresentadas, dentro do “RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO”, as seguintes informações:
1.9.4.1. Confirmação ou refutação de a existência de vulnerabilidades;
1.9.4.2. Documentação sobre o caminho utilizado para exploração, avaliação do impacto e prova da existência da vulnerabilidade;
1.9.4.3. Obtenção de acesso e possível escalada de privilégios;
1.9.4.4. Deverão ser aplicados, no mínimo, os seguintes tipos de ataques:
1.9.4.4.1. Violações do protocolo HTTP;
1.9.4.4.2. SQL Injection;
1.9.4.4.3. LDAP Injection;
1.9.4.4.4. Cookie Tampering;
1.9.4.4.5. Cross-Site Scripting (XSS);
1.9.4.4.6. Directory Transversal;
1.9.4.4.7. Buffer Overflow;
1.9.4.4.8. OS Command Execution;
1.9.4.4.9. Command Injection;
1.9.4.4.10. Remote Code Inclusion;
1.9.4.4.11. Server Side Includes (SSI) Injection;
1.9.4.4.12. File disclosure;
1.9.4.4.13. Information Leak;
1.9.4.4.14. Zero day attacks;
1.9.4.4.15. DDos (Distribuited Denial of Service);
1.9.4.4.16. Dos (Denial of Service);
1.9.4.4.17. Contra protocolo TCP;
1.9.4.4.18. Ataques contra a aplicação.
1.9.4.5. Os ataques de negação de serviços, contra protocolo TCP e em nível da aplicação deverão, cada qual, explorar/demonstrar/utilizar as seguintes técnicas:
1.9.4.5.1. Para ataques de negação de serviços:
1.9.4.5.2. Bugs em serviços, aplicativos e sistemas operacionais;
1.9.4.5.3. SYN flooding;
1.9.4.5.4. Fragmentação de pacotes de IP;
1.9.4.5.5. Smurf e fraggle;
1.9.4.5.6. Teardrop, nuke e land.
1.9.4.5.7. Para ataques contra o protocolo TCP:
1.9.4.5.8. Sequestro de conexões;
1.9.4.5.9. Prognóstico de número de sequência do protocolo TCP;
1.9.4.5.10. Ataque de Mitnick;
1.9.4.5.11. Source routing.
1.9.4.5.12. Para ataques em nível da aplicação:
1.9.4.5.13. Buffer Overflow ;
1.9.4.5.14. Problemas com o SNMP;
1.9.4.5.15. Vírus, worms e cavalos de Tróia.
1.9.4.6. Injeção de Código;
1.9.4.7. Ataques XSS (Cross-site Script);
1.9.4.8. Comprometimento do acesso remoto;
1.9.4.9. Manutenção de acesso;
1.9.4.10. Encobrimento de rastros da invasão;
1.10. Para testes de invasão direcionados, especificamente, aos serviços prestados via WEB, tanto Intranet quanto Internet, deverão ser observados e aplicados, os seguintes testes baseados na publicação OWASP TESTING GUIDE 3.0 (The Open Web Application Security Project):
1.10.1. Para testes de coleta de informações, aplicar padrão: OWASP-IG- 001, OWASP-IG-002, OWASPIG-003, OWASP-IG-004, OWASP-IG- 005 e OWASP-IG-006;
1.10.2. Para testes de gerenciamento de configuração, aplicar padrão: OWASP-CM-001, OWASP-CM-002, OWASP-CM-003, OWASP-CM- 004, OWASP-CM-005, OWASP-CM-006, OWASP-CM-007, OWASPCM-008;
1.10.3. Para testes de autenticação, aplicar padrão: OWASP-AT-001, OWASP-AT-002, OWASP-AT-003,OWASP-AT-004, OWASP-AT-005, OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009 e OWASP-AT-010;
1.10.4. Para testes de gerenciamento de sessão, aplicar padrão: OWASP- SM-001, OWASP-SM-001, OWASP-SM-002, OWASP-SM-003, OWASP-SM-004, OWASPSM-005;
1.10.5. Para testes de autorização, aplicar padrão: OWASP-AZ-001, OWASP-AZ-002 e OWASP-AZ-003;
1.11. Para testes de negócio lógico, aplicar padrão: OWASP-BL-001;
1.12. Para testes de validação de dados, aplicar padrão: OWASP-DV- 001; OWASPDV-002, OWASPDV-003, OWASP-DV-004, OWASP-DV- 005, OWASP-DV-006, OWASP-DV-007, OWASP-DV-008, OWASPDV- 009, OWASP-DV-010, OWASP-DV-011, OWASP-DV-012, OWASP-DV- 013, OWASP-DV-014, OWASPDV-015 e OWASP-DV-016;
1.13. Para testes de negação de serviços, aplicar padrão: OWASP-DS- 001, OWASP-DS-002, OWASPDS-003, OWASP-DS-004, OWASP-DS- 005, OWASP-DS-006, OWASP-DS-007 e OWASP-DS-008;
1.14. Para testes de serviços web, aplicar padrão: OWASP-WS-001, OWASP-WS-002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005, OWASP-WS-006 e OWASP-WS-007.
1.15. Observa-se que o resultado de cada teste deverá vir acompanhado de relatórios contendo:
1.16. Referência-base (Whitepaper);
1.17. Ameaças encontradas;
1.18. Riscos levantados ao ambiente computacional;
1.19. Contramedidas para mitigar as ameaças encontradas.
1.20. Após a entrega do relatório “RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO”, a CONTRATANTE terá até 60 dias para aplicar as ações corretivas das vulnerabilidades relatadas, após esse prazo a CONTRATADA terá 10 dias para refazer o ataque e emitir novo relatório (“RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”), apontando a remediação ou não das vulnerabilidades.
2. ATIVIDADES DE APOIO
2.1. PLANO DE TRABALHO com o detalhamento do escopo dos testes e cronograma de execução;
2.2. RELATÓRIOS DE ACOMPANHAMENTO SEMANAIS do plano de trabalho;
2.3. APRESENTAÇÃO INICIAL das ações a serem aplicadas pela Contratada;
3. DEVERES E RESPONSABILIDADES DA CONTRATANTE
3.1. Proporcionar todas as facilidades para a Contratada executar o fornecimento do objeto do presente Termo de Referência, permitindo o acesso dos profissionais da Contratada às suas dependências. Esses profissionais ficarão sujeitos a todas as normas internas da CONTRATANTE, principalmente as de segurança, inclusive àquelas
referentes à identificação, trajes, trânsito e permanência em suas dependências;
3.2. Promover o acompanhamento e a fiscalização da execução do objeto do presente Termo de Referência, sob o aspecto quantitativo e qualitativo, anotando em registro próprio as falhas detectadas;
3.3. Comunicar prontamente à Contratada qualquer anormalidade na execução do objeto, podendo recusar o recebimento, caso não esteja de acordo com as especificações e condições estabelecidas no presente Termo de Referência;
3.4. Fornecer à Contratada todo tipo de informação interna essencial à realização dos fornecimentos e dos serviços;
3.5. Conferir toda a documentação técnica gerada e apresentada durante a execução dos serviços, efetuando o seu atesto quando esta estiver em conformidade com os padrões de informação e qualidade exigidos;
3.6. Homologar os serviços prestados, quando estes estiverem de acordo com o especificado no Termo de Referência;
3.7. Efetuar o pagamento à Contratada;
4. DEVERES E RESPONSABILIDADES DA CONTRATADA
4.1. Atender a todas as condições descritas no presente Termo de Referência e respectivo Contrato;
4.2. Manter as condições de habilitação e qualificação exigidas durante toda a vigência do Contrato;
4.3. Responder pelas despesas relativas a encargos trabalhistas, seguro de acidentes, contribuições previdenciárias, impostos e quaisquer outras que forem devidas e referentes aos serviços executados por seus empregados, uma vez que estes não têm nenhum vínculo empregatício com a CONTRATANTE;
4.4. Abster-se, qualquer que seja a hipótese, de veicular publicidade ou qualquer outra informação acerca das atividades objeto do Contrato, sem prévia autorização da CONTRATANTE;
4.5. Dar ciência, imediatamente e por escrito, de qualquer anormalidade que verificar na execução do objeto bem como prestar esclarecimentos que forem solicitadas;
4.6. Manter sigilo absoluto sobre informações, dados e documentos provenientes da execução do Contrato e também às demais informações internas da CONTRATANTE a que a CONTRATATA tiver conhecimento;
4.7. Elaborar e apresentar documentação técnica dos fornecimentos e serviços executados nas datas agendadas, visando sua homologação pela CONTRATANTE;
4.8. Alocar profissionais devidamente capacitados e habilitados para os serviços contratados;
4.9. A equipe de profissionais envolvida para exercer as funções, deve possuir as seguintes certificações ou equivalentes:
4.9.1. Certificação CISSP – Certified Information Systems Security Professional;
4.9.2. Certificação CISM - Certified Information Security Manager;
4.9.3. Certificação CEH - Certified Ethical Hacker;
4.9.4. Certificação GISP – GIAC Information Security Professional;
4.9.5. Certificação GCIH – GIAC Certified Incident Handler;
4.9.6. Certificação GCIA – GIAC Certified Intrusion Analyst;
4.9.7. Certificação CRISC - Certified in Risk and Information Systems Control;
4.9.8. Certificação ITIL Foundation – Information Technology Infrastructure Library;
5. PRAZO
5.1. O prazo máximo para início dos serviços é de 30 dias a contar da data de assinatura do Contrato;
5.2. O prazo para conclusão das Ordens de Serviço (OS), incluindo, diagnósticos, análises, avaliações e testes com fornecimento de relatórios específicos de avaliação de vulnerabilidades do ambiente relacionados neste Termo de Referência é de no máximo 30 dias a partir do início das atividades, podendo a CONTRATADA iniciar suas análises em até 5 dias úteis após abertura da OS.
6. ACEITE
O aceite será emitido pela Contrata em até 5 dias corridos a partir da entrega
do “RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”.
7. PAGAMENTO
A CONTRATANTE pagará a CONTRATADA pela Ordem de Serviço (OS) executada, em até 30 dias após recebimento da fatura e aprovação com a emissão do TERMO DE ACEITE emitido pela Contratante.
8. PENALIDADES
Caso haja atraso na entrega do relatório final, haverá multa de 1% por dia de atraso, calculado sobre o valor do contrato global.
9. ATESTADO
A CONTRATADA deverá apresentar Atestado de Capacidade Técnica, passado em papel timbrado, emitido por entidade pública ou privada, que demonstre o correto cumprimento de obrigações da mesma natureza do objeto do presente Edital.
Todos os atestados deverão ser emitidos por empresa que possuam no mínimo 300 servidores em seu ambiente.
10. VALIDADE DO CONTRATO
O contrato terá validade de 36 meses, podendo ser renovado até o limite legal da Lei 8666.
11. CONFIDENCIALIDADE
11.1. A CONTRATADA deverá zelar pelo sigilo de quaisquer informações referentes à estrutura, sistemas, usuários, contribuintes, topologia, e ao modo de funcionamento e tratamento das informações da CONTRATANTE, durante e após fim do contrato, salvo se houver autorização expressa da Contratante
para divulgação;
11.2. A CONTRATADA deverá assinar contrato de xxxxxx das informações geradas e acessadas durante todo o processo de análise.
11.3. A não observância desse qualquer fato poderá ser considerada espionagem e será motivo de processo civil e criminal conforme legislação vigente.
ANEXO II
ORDEM DE SERVIÇO – Nº
PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA
CONTRATO Nº ................. PREGÃO 99.999/99
A presente ordem de serviço é celebrada em conformidade com o procedimento para PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA, previstos no Contrato Nº ,
firmado entre a EMPRESA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO MUNICÍPIO DE SÃO PAULO – PRODAM-S/A -SP e a CONTRATADA, em vigor desde
de de , sendo incorporada ao mesmo por referência.
Quantidade de horas | Período | Valor Total | |
Início | Fim | ||
TOTAL GERAL |
Para efeito do cumprimento desta ORDEM DE SERVIÇO a CONTRATANTE indica o seguinte responsável:
Nome: | ||
Gerência: | Unidade: | Matrícula: |
Endereço: | ||
Telefone: | Fax: |
São Paulo, de de 20
CONTRATANTE CONTRATADA