OBJETO
Processo nº 737.881/2021 Licitação: Pregão Eletrônico n° 33/2022 Contrato n° 2022/083.0
OBJETO
Prestação de serviços de monitoramento e apoio à resposta a incidentes de segurança cibernética, de varredura de vulnerabilidades e de inteligência contra ameaças cibernéticas, incluindo capacitação operacional.
CONTRATANTE:
Denominação/Nome por extenso: CÂMARA DOS DEPUTADOS | ||
CNPJ/MF: 00.530.352/0001-59 | ||
Endereço: XXXXX XXX XXXX XXXXXXX X/X., XX XXXXX 0, 00x XXXXX – PLANO PILOTO | ||
Cidade: BRASÍLIA | UF: DF | CEP: 70.160-900 |
Nome do Signatário: XXXXX XX XXXXXX XXXXXXX XXXX | ||
Cargo/Função: DIRETOR GERAL | ||
CONTRATADA:
Denominação/Nome por extenso: ISH TECNOLOGIA S/A | ||
CNPJ/MF: 01.707.536/0001-04 | ||
Endereço: RUA XXXXXX XXXXX XXXXX XXXXXXX, N. 355, ENSEADA DO SUÁ | ||
Cidade: VITÓRIA | UF: ES | CEP: 29.050-360 |
Nome do Signatário: XXXXXX XXXXXXXX XXXXX | ||
Cargo DIRETOR EXECUTIVO | ||
DADOS DO CONTRATO | ||
Data da Proposta 27/04/2022 | Data de assinatura 08/07/2022 | Data de vigência 09/07/2022 a 08/07/2023 |
Preço: R$ 1.011.500,00 (um milhão e onze mil e quinhentos reais) | Valor da Garantia: R$ 50.575,00 (cinquenta mil e quinhentos e setenta e cinco reais) | |
Nota(s) de Empenho: 2022NE00962 e 2022NE00963 | ||
As partes, acima identificadas acordam em celebrar o presente Contrato, em conformidade com o processo em referência, com as disposições contidas na Lei n. 8.666, de 21/6/93, e alterações posteriores, daqui por diante denominada simplesmente LEI, na Lei n. 10.520, de 17/7/02, no Regulamento dos Procedimentos Licitatórios da Câmara dos Deputados, aprovado pelo Ato da Mesa n. 80, de 7/6/01, publicado no D.O.U. de 5/7/01, doravante denominado simplesmente REGULAMENTO, e com o Edital da licitação acima referenciada, daqui por diante denominado EDITAL, e seus Anexos, observadas as cláusulas e condições a seguir enunciadas. | ||
1. DO OBJETO E DAS ESPECIFICAÇÕES TÉCNICAS
1.1. O objeto do presente contrato é a prestação de serviços de monitoramento e apoio à resposta a incidentes de segurança cibernética e de varredura de vulnerabilidades, incluindo capacitação operacional, pelo período de 12 (doze) meses, de acordo com as quantidades e especificações técnicas descritas no EDITAL e nas demais exigências e condições expressas no referido instrumento e neste Contrato.
1.2. Fazem parte do presente Contrato, para todos os efeitos:
a) Edital do Pregão Eletrônico n. 33/22 e seus Anexos;
b) Ata da Sessão Pública do Pregão Eletrônico n. 33/22;
c) Proposta da CONTRATADA.
2. DO VALOR DA CONTRATAÇÃO
2.1. No valor da contratação estão incluídas todas as despesas ordinárias diretas e indiretas decorrentes da execução do objeto, inclusive tributos e/ou impostos, encargos sociais, trabalhistas, previdenciários, fiscais e comerciais incidentes, taxa de administração, frete, seguro e outros necessários ao cumprimento integral do objeto da contratação.
3. DAS ALTERAÇÕES CONTRATUAIS
3.1. No interesse da CONTRATANTE, o valor deste Contrato poderá ser aumentado ou diminuído em até 25% (vinte e cinco por cento), em razão de acréscimos ou exclusões de componentes do objeto, nas mesmas condições contratuais da proposta, em conformidade com o parágrafo 1º do artigo 113 do REGULAMENTO.
3.1.1. As supressões além desse limite são facultadas por acordo entre as partes, em conformidade com o parágrafo 2º do artigo 113 do REGULAMENTO.
4. DA DOTAÇÃO ORÇAMENTÁRIA
4.1. A despesa com a execução do presente Contrato correrá à conta da seguinte classificação orçamentária:
- Programas de Trabalho:
01.031.0034.4061.5660 – Administração Legislativa - Processo Legislativo, Fiscalização e Representação Política
01.031.0034.4061.5660 – Capacitação de Recursos Humanos – Processo Legislativo, Fiscalização e Representação Política
- Natureza da Despesa:
3.0.00.00 – Despesas Correntes
3.3.00.00 – Outras Despesas Correntes
3.3.90.00 – Aplicações Diretas
3.3.90.40 – Serviços de Tecnologia de Informação e Comunicação
5. DAS CONDIÇÕES DE EXECUÇÃO DOS SERVIÇOS
5.1. Os serviços de monitoramento de segurança cibernética deverão ser prestados de modo a identificar, investigar e documentar eventos que possam comprometer a segurança digital dos serviços de TI da CONTRATANTE, executar processo de resposta a incidentes de segurança, avaliar periodicamente as possíveis vulnerabilidades no ambiente, gerar relatórios e prover informações relativas à segurança do ambiente monitorado e sobre os incidentes identificados, entre outras atividades correlacionadas, sob um regime de prestação de serviço de 24x7 (vinte e quatro horas por dia, sete dias por semana).
5.1.1. Entende-se incidente de segurança cibernética qualquer ação que vise a comprometer a integridade, a confidencialidade ou a disponibilidade das informações e/ou dos serviços de TIC providos pela Diretoria de Inovação e Tecnologia da Informação (DITEC), incluindo, mas sem se limitar a, acessos indevidos, instalação de códigos maliciosos, indisponibilidade de aplicações, ataques de força bruta, roubo ou comprometimento de informações custodiadas, exploração de vulnerabilidades, entre outras de mesma natureza maliciosa ou ilícita.
5.2. O serviço prestado deverá englobar alocação de equipamentos e softwares necessários à execução das atividades previstas neste Contrato, no Edital e em seus anexos, caso necessário, incluindo garantia, manutenção, atualização dos produtos, monitoramento e resposta a incidentes em regime 24x7 durante o prazo de vigência deste Contrato.
5.3. A CONTRATADA deverá dimensionar adequadamente a sua equipe de profissionais de forma a prestar plenamente os serviços objeto deste Contrato, bem como para atingir os níveis de serviço estabelecidos para execução contratual
5.4. Deverá ser realizada, nas dependências da CONTRATANTE, reunião preparatória com o intuito de esclarecer obrigações contratuais no prazo de 5 (cinco) dias úteis, contados da data da assinatura deste Contrato.
5.4.1. A CONTRATADA deverá apresentar o plano inicial de implantação do serviço, que deverá conter as atividades a serem executadas para implantação do serviço divididas em etapas e o plano de capacitação, nos termos do Título 10 deste Contrato.
5.4.2. A CONTRATADA deverá apresentar o preposto e serão verificadas as providências que estão sendo tomadas pela CONTRATADA no sentido de iniciar a prestação do serviço.
5.4.3. Na reunião, deverá ser apresentada a lista dos profissionais da CONTRATADA que serão alocados para a prestação dos serviços, devendo ser apresentada a documentação comprobatória da qualificação exigida, nos termos do Anexo n. 2 e do Título 9 deste Contrato, assim como deverão ser apresentados o Termo de Compromisso de Confidencialidade e o Termo de Responsabilidade de Uso do Acesso Remoto devidamente assinados.
O(s) profissional(is) indicado(s) conforme item 1.4 do Anexo n. 2 ao Edital deverá(ão) participar dos serviços objeto deste Contrato, admitindo-se a substituição por profissional(is) de experiência equivalente ou superior, desde que, prévia e formalmente aprovada pelo Órgão Responsável.
5.5. No prazo máximo de 5 (cinco) dias, contados da realização da reunião de que trata o item 5.4 deste Título, deverá ser apresentado o plano final de implantação, que deverá conter o cronograma de implantação com as datas limites para conclusão de cada etapa.
5.5.1. O cronograma deverá ser previamente acordado com a equipe técnica da CONTRATANTE, considerando a disponibilidade e o tempo necessário para realização de todos os trâmites necessários à execução da instalação, incluindo o tempo necessário para obtenção das autorizações de acesso e possível instalação de equipamentos no datacenter e demais dependências da CONTRATANTE.
5.6. A CONTRATADA deverá estar apta a iniciar a prestação dos serviços em até 30 (trinta) dias, contados da data da assinatura deste Contrato.
5.6.1. O prazo de que trata este item será o prazo máximo para conclusão de todas as etapas do cronograma de implantação, podendo ser prorrogado, mediante justificativa aceita pelo Órgão Responsável, sob pena de multa em caso de atraso não justificado.
5.6.2. Nesse período não será devido o pagamento mensal, visto não haver sido prestado o serviço contratado.
5.7. Após concluídas as etapas de implantação, será emitida pela CONTRATANTE, no prazo de 5 (cinco) dias contados da comunicação da CONTRATADA de conclusão da implantação, Ordem de Serviço, conforme modelo constante no Anexo n. 11 ao Edital, autorizando o início efetivo da execução dos serviços.
5.8. Os dois meses seguintes à emissão da Ordem de Serviço serão considerados período de adaptação, no qual haverá um escalonamento das metas dos níveis de serviço na seguinte razão:
a) 80% das metas no primeiro mês da prestação dos serviços;
b) 90% das metas no segundo mês;
c) 100% das metas a partir do terceiro mês.
6. DO MONITORAMENTO, DA IDENTIFICAÇÃO E INVESTIGAÇÃO DOS EVENTOS DE SEGURANÇA CIBERNÉTICA
6.1. Será de responsabilidade da CONTRATADA o monitoramento ininterrupto dos sistemas, serviços e ativos de infraestrutura de TI, gerando uma base histórica das métricas coletadas dos itens monitorados, com vistas a verificação contínua de ataques, ameaças, vulnerabilidades ou riscos emergentes que possam afetar a segurança da Rede Câmara, bem como comunicação de controles de segurança para tratamento de riscos associados.
6.2. O serviço de gerenciamento e monitoramento da solução deverá ser prestado através de SOC (Security Operations Center) no regime 24x7.
6.2.1. O SOC deverá possuir minimamente infraestrutura contendo sistema de gerenciamento de CFTV, sistema de alarme e monitoramento, controle de acesso por biometria e sistema de combate a incêndios.
6.3. O serviço de monitoramento deverá utilizar informações extraídas de registros gerados pelos ativos de infraestrutura de segurança e pelos sistemas monitorados, painéis de monitoramento da DITEC, interfaces de soluções de terceiros, entre outros métodos de obtenção de dados das soluções digitais a monitorar no ambiente de produção da CONTRATANTE.
6.3.1. Caso o monitoramento não possa ser realizado com base em logs geradas pelo ativo ou sistema monitorado, a CONTRATADA deverá utilizar outros mecanismos para identificar e notificar atividades maliciosas.
6.4. Poderão ser instalados agentes ou conectores específicos nos servidores e ativos de segurança, objetivando coletar informações mais detalhadas para o serviço de monitoramento, desde que seja plenamente compatível com o sistema onde será instalado e não afete o desempenho dos serviços.
6.5. A solução deverá funcionar somente em modo passivo, sem adicionar latência à rede durante a monitoração.
6.6. Caso a CONTRATADA deixe de monitorar algum dos sistemas ou ativos de infraestrutura de TI definidos pela CONTRATANTE, deverá apresentar justificativa técnica da inviabilidade de monitoramento para apreciação pelo Órgão Responsável, sujeitando-se a multas e às demais sanções cabíveis caso a justificativa seja julgada improcedente.
6.7. Lista dos ativos e sistemas a monitorar.
Tipo Marca Equipamento / Produto Quantidade Logs / dia
(total)
Rede | Cisco | Roteador ASR 1000 | 2 | - |
Rede | HP | Switch H3C X0000-00X- XX | 0 | - |
Xxxx | XX | Xxxxxx Xxxx X0X X00000 | 1 | - |
Rede | Cisco | 8540 Wireless Controllers | 2 | - |
Segurança | Check Point | Firewall-1 R80.20 | 1 | 150M |
Segurança | Fortinet | FortiGate 2200E | 2 | 350M |
Segurança | Linux | WAF Apache + ModSecurity | 4 | 25M |
Segurança | Linux | Keycloak SSO | 1 | 150k |
Segurança | Linux | Apache Guacamole | 1 | 9k |
Segurança | Linux | Anti-spam Postfix + Rspamd | 4 | 1,2M |
Segurança | Windows | Active Directory 2012 | 4 | 70G |
Serviços | Windows | File Sharing | 38 | 40M |
Serviços | Exchange | 8 | 55M | |
Virtualização | VMWare | vCenter | 1 | 37M |
Virtualização | VMWare | ESXi | 24 | - |
Virtualização | VMWare | Máquinas Virtuais | 1138 | - |
Link Internet | Algar | 2,5 Gbps | 1 | - |
Link Internet | Lumen | 2,5 Gbps | 1 | - |
Hardware | Dell | Hardware (servidores) | 214 | - |
1449 |
Tecnologias que serão objeto de monitoramento de segurança | Firewall (incluindo IPS/IDS, filtro WEB, antivírus e anti- malware, controle de aplicações) WAF, serviço de acesso remoto (Apache Guacamole), Serviço de e- mail com AntiSpam (Postfix + Rspamd), Roteadores, Switches, Controladora Wi-Fi, Servidores Linux, Active Directory, Infraestrutura de Virtualização VMWare |
Tecnologias de segurança | Firewall de próxima geração (incluindo IDS/IPS, |
da informação | antivírus e anti-malware, filtro web e controle de |
implementadas no ambiente | aplicações); web application firewall (Apache + |
ModSecurity); Anti-spam (Postfix + Rspamd); proteção | |
de endpoint (Kaspersky endpoint security) |
6.7.1. As listas deste item 6.7 servirão para a configuração inicial do serviço, que deverá ser revisada ao longo do período de vigência contratual à medida que sistemas, serviços e
ativos de infraestrutura sejam atualizados, removidos ou adicionados ao ambiente de produção de TI da CONTRATANTE, devendo a CONTRATADA contemplar as mudanças no serviço de monitoramento.
6.8. A CONTRATADA deverá possuir solução de correlacionamento de eventos (Security Information and Event Management - SIEM) que deverá funcionar como agregador de todos os dados pertinentes à solução gerenciada.
6.9. A análise das informações correlacionadas deverá ser realizada com auxílio de bases globais de inteligência contra ameaças cibernéticas em conjunto com a expertise dos profissionais da CONTRATADA, com vistas a reduzir ao máximo os falsos positivos e falsos negativos.
6.10. A abertura de um incidente de segurança deverá ser feita no prazo de 30 (trinta) minutos contados da detecção de um evento de segurança pelos sistemas de monitoramento e correlacionamento da CONTRATADA e após a análise preliminar dos profissionais da CONTRATADA.
6.11. O serviço de monitoramento deverá ser capaz de coletar e realizar a correlação automática de eventos dos sistemas e ativos monitorados, permitindo uma visão mais abrangente do alcance das ações maliciosas, bem como de indicadores de comprometimento (IoC) e de ataques (IoA).
6.12. Não será permitida a substituição de sistemas e ativos de segurança atualmente instalados no âmbito da infraestrutura de TI, com vistas ao atendimento do objeto da contratação.
6.13. Deverá ser fornecido à CONTRATANTE acesso a qualquer software ou ferramenta que sejam utilizados pela CONTRATADA na prestação dos serviços, para que seja possível realizar pesquisa e análise dos dados correlacionados das fontes monitoradas, incidentes e outras informações referentes ao ambiente da CONTRATANTE.
6.14. Deverá ser possível exportar o resultado das pesquisas realizadas em qualquer software ou ferramenta que sejam utilizados pela CONTRATADA na prestação dos serviços, no mínimo, para os formatos PDF, JSON ou CSV.
6.15. Softwares e hardwares (físicos ou virtuais) necessários à coleta de logs ou de outros dados necessários à execução contratual poderão ser instalados nos datacenters da CONTRATANTE, sujeitos à aprovação prévia do Órgão Responsável.
6.16. A CONTRATADA deverá informar, no mínimo, nome DNS, endereço IP e porta para onde os dados serão transferidos, necessidade de instalação de algum agente nos ativos monitorados, quais serão os dados que serão consumidos pela solução, a forma como essas informações transitarão pela rede, assim como outras informações pertinentes à coleta e ao processamento dos dados para atendimento do objeto.
6.17. Aplicar-se-ão os dispositivos da legislação pertinente quando os dados coletados forem pessoais e devam ser tratados como preconiza a Lei.
6.17.1. Caso a CONTRATADA venha a realizar tratamento de dados pessoais, será considerada operadora, sendo a CONTRATANTE a controladora dos dados.
6.18. Qualquer custo relacionado ao provimento de software e/ou hardware auxiliares para execução plena dos serviços deverá correr às expensas da CONTRATADA.
6.19. É obrigatório que a comunicação entre equipamentos e soluções da CONTRATADA instalados nos datacenters da CONTRATANTE e qualquer infraestrutura onde esses dados
sejam processados ocorra de forma segura, utilizando algoritmos criptográficos para preservar o sigilo das informações, por meio de VPN ou outro recurso de comunicação seguro aprovado pela Seção de Segurança de Redes da DITEC.
6.20. A qualquer tempo e a critério exclusivo da CONTRATANTE, as configurações e os dados transferidos de equipamento ou solução da CONTRATADA instalado nos datacenters da CONTRATANTE poderão ser auditados por equipe técnica da CONTRATANTE para assegurar que somente informações relacionadas ao objeto da prestação do serviço estejam sendo enviados para sistemas da CONTRATADA e de forma segura.
6.21. Desconformidades na transferência de dados de sistemas ou de ativos da CONTRATANTE, seja por conteúdo não autorizado ou para destinos não identificados como sendo da CONTRATADA relacionados com a prestação dos serviços contratados, estarão sujeitos à sanção e às demais medidas legais cabíveis.
6.22. Na ocorrência de um incidente de segurança, a CONTRATADA deverá iniciar os procedimentos apropriados de resposta ao incidente, envolvendo as equipes técnicas da CONTRATANTE nas ações necessárias à contenção, mitigação e resolução do incidente.
6.23. A CONTRATADA deverá disponibilizar uma sala de videoconferência virtual de sua propriedade, que a qualquer tempo poderá ser utilizada para reuniões emergenciais para tratamento dos incidentes de segurança.
6.24. A sala de videoconferência virtual deverá ter capacidade de pelos menos 5 (cinco) participantes simultaneamente e deverá estar acessível a qualquer tempo, desde o registro até a conclusão do incidente.
6.25. Deverá ser feita a investigação e a classificação dos eventos monitorados, aplicando os principais frameworks de gestão de incidentes de segurança cibernética (NIST 800-61 R2, SANS Incident Handler’s Handbook, Norma ABNT ISO 27002) bem como boas práticas de mercado na detecção e triagem dos eventos de segurança, objetivando minimizar a presença de falsos positivos na abertura de incidentes de segurança.
6.26. O monitoramento deverá ser capaz de identificar as principais ameaças, bem como táticas, técnicas e procedimentos de ataque descritos na base de conhecimento MITRE ATT&CK, sem prejuízo do uso de outras bases de conhecimento ou serviços de inteligência de ameaças, para complementação da capacidade de identificação de atividades maliciosas.
6.27. A CONTRATADA deverá acompanhar e avaliar criticamente os serviços monitorados, traçando curvas de comportamento, definindo a linha de base de eventos de segurança, a volumetria média de acessos e identificando comportamentos anômalos, visando a antecipar a identificação de incidentes de segurança, antes mesmo do impacto nos serviços.
6.28. A CONTRATADA deverá monitorar o padrão de acessos ao ambiente e definir, com o aval do Órgão Responsável, os limiares (thresholds) a partir dos quais serão caracterizados os incidentes cibernéticos.
6.29. Todas as linhas de base e os limiares adotados no monitoramento deverão ser revisados pelo menos mensalmente, sem se limitar a esse período, para que novos ataques ou variação de ataques conhecidos possam ser detectados apropriadamente.
6.30. A CONTRATADA deverá comunicar a ocorrência dessas anomalias à área técnica da CONTRATANTE para apoio na identificação de possível falso positivo ou de possível indício de comprometimento.
6.31. As sessões legislativas no plenário Xxxxxxx Xxxxxxxxx e nos plenários de comissão são consideradas atividades críticas da CONTRATANTE, devendo a CONTRATADA
monitorar todos os recursos digitais em uso nessas reuniões e iniciar os procedimentos de apoio à resposta a incidentes de segurança tão logo seja verificada qualquer uso de técnicas de ataque ou anormalidade que possa indicar ataque cibernético em andamento ou em preparação.
6.32. A CONTRATADA deverá incluir no serviço de monitoramento a verificação de tentativas de ataque a soluções digitais que suportam processos de trabalho da CONTRATANTE, conforme os seguintes requisitos não exaustivos:
a) tentativas de invasão em reuniões virtuais nos sistemas de vídeo conferência adotados pela CONTRATANTE;
b) aumento anormal do uso da banda do link de Internet que possa indicar tentativa de negação de serviço;
c) aumento anormal das requisições a Web Services providos pela DITEC que possam indicar tentativa de negação de serviço;
d) tentativas de uso indevido de credenciais para acesso aos sistemas e ativos de infraestrutura de TI;
e) tentativa de exploração de vulnerabilidades em sistemas e ativos de infraestrutura de TI;
f) comunicação com endereços de Internet suspeitos, como endereços de comando e controles de botnets e distribuição de malware.
6.33. A lista de requisitos de que trata o item anterior não é exaustiva, devendo a CONTRATADA incorporar requisitos de outros sistemas e ativos de TI que venham a ser incorporados ao ambiente de produção de TI da CONTRATANTE durante a vigência contratual.
6.34. A CONTRATADA deverá monitorar a solução de Antispam adotada pela CONTRATANTE para observar se técnicas maliciosas, como, por exemplo, phishing, não foram apropriadamente bloqueadas pela ferramenta, bem como coletar métricas de eventos de segurança relacionados ao tráfego de e-mail.
6.35. A CONTRATADA deverá prover inteligência de proteção contra ataques cibernéticos, sendo responsável por pesquisar novos tipos de ataques, vírus, malwares, botnets, vulnerabilidades e afins com intuito de melhoria contínua de detecção e mitigação destes males dentro dos serviços e ativos de segurança monitorados.
6.36. Durante a execução contratual, a CONTRATADA deverá proativa e continuamente:
a) criar novos casos de uso configurando regras, thresholds e alertas de acordo com as especificações desenvolvidas pela CONTRATADA com base em ameaças e incidentes identificados em outras entidades públicas ou privadas;
b) aperfeiçoar as regras, thresholds e alertas do sistema de correlação de eventos de segurança cibernética, visando reduzir o número de falsos positivos e falsos negativos;
c) sugerir melhorias na arquitetura de gerenciamento de logs de acordo com o ambiente implantado, incluindo padronização de campos, formas de agregação, retenção e configuração das fontes, de maneira a melhorar a obtenção de informações relativas ao monitoramento da segurança cibernética;
d) elaborar e manter atualizada documentação (playbook) referente a procedimentos técnicos específicos relativos à identificação, contenção e mitigação/resolução a serem realizados na resposta a um tipo individual de incidente de segurança cibernética, definido pela CONTRATANTE, de maneira a orientar as equipes técnicas envolvidas na resolução do incidente.
6.37. A CONTRATADA deverá possuir solução de backup, para armazenamento e recuperação de todos os registros de atividades da solução durante toda a vigência deste Contrato.
6.37.1. Ao final deste Contrato, todos os registros relativos à prestação dos serviços deverão ser entregues à CONTRATANTE em formato digital e deverão ser totalmente excluídos da solução, sem possibilidade de recuperação.
7. DO REGISTRO DE INCIDENTES E SOLICITAÇÕES DE SERVIÇO À CONTRATADA
7.1. A CONTRATADA deverá utilizar solução para registro de incidente de segurança, acessível pela equipe técnica da CONTRATANTE, para indicar ações de contenção, comunicar à equipe da CONTRATANTE sobre o andamento do tratamento dos incidentes, registrar e acompanhar solicitações de serviço à CONTRATADA, gerar relatórios e visualizar painéis de métricas do monitoramento.
7.1.1. As métricas do monitoramento serão definidas durante a fase de adaptação dos serviços e revisadas ao longo da execução contratual, considerando os dados disponíveis oriundos dos itens monitorados.
7.2. As solicitações de serviço abertas pela CONTRATANTE estarão relacionadas ao provimento de informações ou à execução de atividades afeitas ao objeto da contratação, e estarão sujeitas aos níveis de serviços definidos no Título 11 deste Contrato.
7.3. Todo o processo de detecção, triagem, análise e apoio à resposta ao incidente deverá ser documentado na ferramenta de registro de incidente de segurança da CONTRATADA, permitindo que a CONTRATANTE acompanhe todas as providências tomadas até a solução do incidente.
7.4. O registro do incidente deverá possuir, pelo menos, as informações de número de identificação do incidente, data, hora, prioridade, descrição do incidente, hosts afetados, ações recomendadas e profissional alocado no atendimento.
7.5. Os incidentes de segurança identificados pelo serviço de monitoramento deverão ser registrados na solução para registro de incidentes e comunicados à CONTRATANTE tempestivamente.
7.5.1. Ao comunicar o incidente de segurança ao Órgão Responsável, a CONTRATADA deverá sugerir quais poderão ser as linhas de atuação para resposta ao incidente comunicado.
7.5.2. A geração de alertas ou sinalização em painéis de monitoração não substitui a obrigação de comunicar tempestivamente o incidente à pessoa designada pela CONTRATANTE, por telefone, e-mail ou aplicativo de mensagem.
7.6. A solução da CONTRATADA deverá possuir API Rest que permita a integração, provendo informações sobre os chamados, com a solução em uso pela CONTRATANTE para gestão de serviços de TIC.
7.7. O serviço deverá contemplar a implementação de painéis de monitoração nos quais poderão ser visualizados indicadores, gráficos e alarmes que indiquem a condição atual e histórica do ambiente monitorado.
7.8. Deverá ser possível visualizar nos painéis anormalidade nas seguintes métricas:
a) quantidade de tentativas de login fora do horário ordinário de trabalho da Casa;
b) aumento anormal de requisições a serviços Web monitorados;
c) tentativas de Active Scanning;
d) e-mails bloqueados e e-mails liberados;
e) quantidade de incidentes em aberto;
f) quantidade de incidentes fechados;
g) comunicação com endereços de Internet suspeitos, como endereços de comando e controles de botnets, distribuição de malware;
h) quantidade de eventos por segundo.
7.9. Outras métricas e alarmes poderão ser configurados nos painéis de monitoração, que serão definidos em conjunto com a CONTRATANTE com base nas informações disponíveis nos sistemas monitorados e o tipo de atividade maliciosa que se desejará monitorar.
7.10. As requisições de serviços à CONTRATADA não relacionadas com incidentes de segurança, como criação e atualização de painéis, regras e relatórios nos softwares e soluções utilizadas na prestação dos serviços, será feita por meio de chamado no sistema de registro de solicitações de serviço da CONTRATADA.
7.11. As requisições de serviços à CONTRATADA deverão ser atendidas dentro do prazo estabelecido no Título 11 deste Contrato em função da classificação da requisição, estando a CONTRATADA sujeita a sanções em caso de descumprimento.
7.12. A CONTRATADA será responsável por resolver problemas e esclarecer dúvidas relacionadas ao funcionamento e uso de todos os softwares e ferramentas utilizadas na prestação dos serviços.
8. DAS VARREDURAS DE VULNERABILIDADES
8.1. A CONTRATADA deverá realizar o monitoramento de vulnerabilidades, que terá por objetivo, de forma proativa e recorrente, identificar possíveis vulnerabilidades de segurança cibernética no ambiente e nos sistemas críticos providos pela DITEC a fim de evitar que ataques cibernéticos obtenham sucesso explorando vulnerabilidades conhecidas.
8.2. Para vulnerabilidades encontradas no ambiente que já sejam conhecidas e catalogadas (CVE, CVSS e outras bases de vulnerabilidades conhecidas), a CONTRATADA deverá apresentar relatório detalhando a vulnerabilidade, a respectiva criticidade e proposta para solução.
8.3. A solicitação para execução das varreduras de vulnerabilidades será feita por demanda, que deverá ser atendida dentro dos níveis de mínimos de serviço definidos, conforme disposto no item 7.11 do Título 7 deste Contrato.
8.4. Após o término das rotinas de checagens e varreduras no ambiente, a CONTRATADA deverá realizar uma análise de falso positivo das vulnerabilidades descobertas, devendo ser informadas à CONTRATANTE apenas vulnerabilidades que existam de fato em seu ambiente.
8.5. A CONTRATADA deverá agrupar o resultado em sistemas operacionais, endereços IP, porta, nome DNS e vulnerabilidade.
8.6. A CONTRATADA deverá detectar vulnerabilidades em sistemas operacionais Linux e Microsoft Windows.
8.7. A CONTRATADA deverá detectar vulnerabilidades em ambientes Kubernetes, Oracle, SQL Server e Microsoft Exchange.
8.8. A CONTRATADA deverá dispor de capacidade de selecionar e agrupar ativos encontrados, com possibilidade de incluir faixa de exclusão de endereços IP para varredura.
8.9. A CONTRATADA deverá dispor de capacidade de rotular ativos encontrados (tag) por unidade responsável pelos respectivos grupos de ativos.
8.10. A CONTRATADA deverá apresentar definição de, no mínimo, 3 (três) níveis de criticidade de vulnerabilidades.
8.11. A CONTRATADA deverá prover recurso para acompanhamento da evolução das remediações de vulnerabilidades encontradas.
8.12. A CONTRATADA deverá apresentar procedimentos necessários para eliminar, remediar ou mitigar vulnerabilidades encontradas, tais como indicação de atualizações de software.
8.13. A CONTRATADA deverá emitir relatórios analíticos contendo dados, informações, indicadores e métricas que permitam avaliar a exposição do ambiente de TIC da CONTRATANTE em relação aos riscos de segurança cibernética, contendo pelo menos: hosts encontrados, serviços, vulnerabilidades descobertas, nível de risco por plataforma e por vulnerabilidade.
8.14. A CONTRATADA deverá anexar à solicitação de serviço feita pela CONTRATANTE relatório de vulnerabilidades em formato PDF, JSON ou CSV.
8.15. Quando as vulnerabilidades forem relacionadas a falhas em códigos de aplicação (ex.: falha de validação de entrada em aplicação que caracterize vulnerabilidade de SQL injection), a CONTRATADA deverá reportar as vulnerabilidades de forma detalhada indicando como elas poderiam ser exploradas e sugerir ações para correção ou mitigação.
8.16. A CONTRATADA deverá alertar a respeito de novas vulnerabilidades que tenham sido recentemente divulgadas em ambientes Linux (CentOs e RedHat) e Windows Server a partir da versão 2003.
9. DOS PROFISSIONAIS DE MONITORAMENTO DE SEGURANÇA CIBERNÉTICA
9.1. O serviço deverá ser prestado por profissionais com qualificação técnica adequada às características e complexidade do serviço, conforme as exigências definidas neste Título.
9.2. A formação da equipe de profissionais é de exclusiva responsabilidade da CONTRATADA.
9.3. Em cada turno de trabalho, a CONTRATADA deverá manter um profissional para atuar como Supervisor ou Líder de Equipe, que, entre outras atribuições, será responsável por:
a) ser o ponto focal para acompanhamento relativos às ações de resposta a incidentes, a solicitações de serviços e outras demandas efetuadas pela CONTRATANTE;
b) acompanhar todo o ciclo de vida da resposta a um incidente de segurança, servindo de elo entre as equipes técnicas da CONTRATADA e da CONTRATANTE, de forma a agilizar a obtenção de informações e discussão das ações de contenção e mitigação do incidente;
c) participar da reunião de postmortem, conforme fluxo de resposta a incidente da CONTRATANTE, fornecendo todas as informações relacionadas ao objeto da contratação, objetivando o entendimento completo das causas do incidente e das ações necessárias a evitar novas ocorrências.
9.4. Durante a execução contratual, a CONTRATADA se obriga a manter todos os profissionais alocados na prestação dos serviços com as qualificações abaixo especificadas:
a) experiência de pelo menos 4 (quatro) anos na área de Segurança da Informação para o Supervisor ou Líder da Equipe e de 2 (dois) anos para os demais profissionais alocados à prestação dos serviços;
a.1) para comprovação da exigência de experiência profissional poderão ser aceitos registros na CTPS ou atestados emitidos por pessoa jurídica pública ou privada onde o profissional tenha trabalhado, especificando as atividades executadas;
b) treinamento nas soluções utilizadas pela CONTRATANTE na prestação dos serviços;
b.1) para comprovação da exigência, poderão ser aceitos certificados de treinamento ou declaração, emitida pela CONTRATADA, que o profissional participou de treinamento do tipo “on-the-job” na solução.
c) para o Supervisor ou Líder da Equipe, além das demais qualificações exigidas nas alíneas “a” e “b” do item 9.4 deste Título, pelo menos uma das seguintes certificações:
c.1) Comptia Security+1
c.2) GIAC Certified Incident Handler
c.3) EC-Council Certified Incident Handler
c.4) CERT Incident Response Process Professional Certficate2
c.5) outras certificações em segurança poderão ser aceitas à critério exclusivo da CONTRATANTE, após análise do conhecimento requerido para obtenção do certificado.
9.4.1. É obrigação da CONTRATADA encaminhar ou apontar endereço eletrônico no qual poderão ser consultadas as informações necessárias para a análise do conhecimento requerido para a certificação apresentada.
9.5. Todos os documentos apresentados estarão sujeitos à diligência do CONTRATANTE para fins de confirmação das informações prestadas.
9.6. A documentação comprobatória da identificação e da qualificação técnica dos profissionais deverá ser entregue na reunião de abertura de que trata o item 5.4 do Título 5
1 xxxxx://xxx.xxxxxxx.xxx/xxxxxxxxxxxxxx/xxxxxxxx
2 xxxxx://xxx.xxx.xxx.xxx/xxxxxxxxx-xxxxxxxx/xxxxxxxxxxx/xxxxxxxxxx.xxx?xxxxxxxx_xxxxxxxxxx_00000x00000
deste Contrato e sempre que houver alteração no quadro de profissionais da CONTRATADA alocados para execução dos serviços, durante a vigência contratual.
9.6.1. O prazo para apresentação da documentação comprobatória da identificação e da qualificação técnica dos profissionais, no decorrer da vigência deste Contrato, será de 15 (quinze) dias, contados da comunicação formal da alocação do profissional à prestação dos serviços.
9.7. Cada prestador de serviço substituto deverá ter o mesmo perfil profissional do prestador substituído, inclusive quanto à familiaridade com as tecnologias, rotinas de trabalho e sistemas de informação adotados pela CONTRATANTE e utilizados por ele, além de conhecimento acerca da estrutura organizacional da instituição.
10. DA CAPACITAÇÃO OPERACIONAL
10.1. A CONTRATADA deverá prestar serviços de capacitação nas soluções de software adotadas na prestação de serviços, com o objetivo de qualificar a equipe técnica da CONTRATANTE a, pelo menos:
a) abrir e acompanhar incidentes de segurança registrados;
b) abrir e acompanhar solicitações de serviço;
c) verificar as configurações da solução de coleta e transferência de logs;
d) realizar pesquisas na solução de correlação de dados;
e) exportar resultado de pesquisas;
f) criar e extrair relatórios;
g) visualizar painéis de métricas de monitoramento.
10.2. A CONTRATADA deverá apresentar plano de capacitação em conjunto com o plano de implantação do serviço, conforme definido no Título 5 deste Contrato.
10.3. O plano de capacitação deverá contemplar o conteúdo a ser repassado ao Órgão Responsável, a qualificação do instrutor, o local de realização da capacitação (presencial ou à distância) e a respectiva carga horária, que não deverá ser inferior a 8 (oito) horas, limitada a 2 (duas) horas diárias, considerando no mínimo 2 (duas) turmas, em horários distintos, no período entre 8h e 17h.
10.4. A capacitação também poderá ser oferecida na forma de vídeos pré-gravados, respeitando a carga horária mínima, acompanhados de todo o material didático textual, de imagens e telemático necessário a execução de atividades práticas.
a) as aulas pré-gravadas deverão ser disponibilizadas por um período mínimo de 3 (três) meses;
b) durante esse período, um instrutor capacitado deverá estar disponível para resposta a dúvidas ou outros questionamentos a respeito do tema;
c) o aceite dessa modalidade de capacitação também está sujeito à avaliação de desempenho.
10.5. No caso de realização da capacitação em modalidade presencial, deverá esta ser realizada em local provido pela CONTRATADA, em Brasília – DF.
10.6. O(s) instrutor(es) deverá(ão) possuir experiência comprovada em cursos cujos temas sejam relacionados com os componentes de hardware e software utilizados na solução proposta.
10.6.1. A comprovação da experiência em instrutoria dar-se-á pela apresentação de currículos, certificados ou declarações da CONTRATADA apresentados à CONTRATANTE.
10.6.2. Faculta-se ao Órgão Responsável solicitar a substituição do(s) instrutor(es) e o estabelecimento de um novo cronograma de capacitação, caso a equipe da CONTRATANTE considere o desempenho insatisfatório, de acordo com os critérios estabelecidos no item
10.11 deste Título.
10.7. A capacitação deverá considerar a participação de, no máximo, 4 (quatro) pessoas por turma.
10.8. O cronograma da capacitação deverá ser definido em comum acordo com a CONTRATANTE.
10.9. A CONTRATADA deverá prover o fornecimento de material didático em formato digital a todos os participantes e que incorpore como as tarefas são realizadas na solução, não sendo obrigatório ser do fabricante da solução adotada para a prestação dos serviços.
10.10. Após a conclusão de cada treinamento, a CONTRATADA deverá fornecer:
a) aos participantes que obtiverem frequência mínima de 75% (setenta e cinco por cento), certificado individualizado de conclusão, constando nome completo do instrutor, a carga horária e o conteúdo programático;
b) à CONTRATANTE, cópia da folha de frequência dos participantes e questionário individual de avaliação.
10.11. Os treinandos deverão preencher, ao fim da capacitação, questionário individual de avaliação abordando, pelo menos, os aspectos previstos a seguir:
10.11.1. Avaliação do Instrutor:
a) o Instrutor demonstrou confiança e domínio na exposição do conteúdo;
b) o Instrutor desenvolveu o conteúdo programático adequadamente dentro da carga horária;
c) o Instrutor foi claro e objetivo no desenvolvimento do conteúdo;
d) o Instrutor soube estimular a participação dos treinandos;
e) o Instrutor esclareceu satisfatoriamente as dúvidas dos treinandos;
f) o Instrutor teve bom relacionamento com todo o grupo de treinandos;
g) o Instrutor cumpriu satisfatoriamente os horários pré-estabelecidos para as aulas.
10.11.2. Avaliação do Módulo:
a) os assuntos abordados atenderam à minha expectativa;
b) o conhecimento assimilado foi suficiente para a aplicação em minhas tarefas;
c) o módulo abrangeu situações que poderão ser vividas no dia a dia;
d) o programa desenvolvido e o conhecimento transmitido foram adequados ao objetivo do módulo;
e) o material e os recursos didáticos utilizados foram adequados;
f) o programa previsto para o módulo foi cumprido integralmente.
10.12. Para cada um dos itens que compuser as avaliações de que trata o item anterior, deverá ser possível atribuir nota de 1 a 10, além de N/A (não aplicável).
10.12.1. Caso a nota para pelo menos 50% dos itens avaliados seja inferior a 5, a capacitação será considerada insatisfatória.
10.13. A CONTRATADA deverá ceder os direitos patrimoniais do material didático criado à CONTRATANTE, nos termos do art. 111 da Lei n. 8.666/1993.
10.14. A conclusão satisfatória da capacitação, nos termos deste Título, é pré-requisito à concessão do aceite da capacitação.
10.15. Caso a capacitação seja considerada insatisfatória, o treinamento deverá ser repetido, sem ônus adicional à CONTRATANTE.
11. DOS NÍVEIS MÍNIMOS DE SERVIÇO
11.1. O serviço será atestado e faturado mensalmente com base na apuração dos indicadores definidos neste Título, aferidos e relatados pela CONTRATADA no relatório gerencial mensal e fiscalizados pela CONTRATANTE.
11.2. O pagamento poderá sofrer glosa em função do descumprimento das metas estabelecidas neste Título, sendo o valor de desconto definido de acordo com os resultados aferidos dos indicadores.
11.3. Os indicadores e as metas dos níveis de serviço mínimos esperados estão descritos na tabela a seguir:
Ite m | Indicadores de nível de serviço | Fórmula de cálculo | Nível de serviço esperad o | Percentual de redução no valor da fatura do mês |
1 | Índice de disponibilidade do serviço | IDS = ((TM – TI) / TM) x 100 | Maior ou igual a 99,4% | 0,5% (cinco décimos por cento) diante da incidência de descumprimento da meta, e; 0,2% (dois décimos por cento) adicional a cada 0,1% (um décimo por cento) abaixo da meta. |
2 | Tempo máximo para triagem de incidentes de segurança | ITMT = ((TISR – TISTFP) / TISR) x 100 | Maior ou igual a 90% | 0,5% (dois décimos por cento) diante da incidência de descumprimento da meta, e; 0,1% adicional a cada 1% (um por cento) abaixo da meta. |
Sendo:
IDS Índice de disponibilidade de serviço;
TM Tempo total mensal de operação, em minutos, no mês de faturamento;
TI Tempo total mensal de indisponibilidade do serviço, em minutos, no mês de faturamento;
ITMT Índice de tempo máximo para triagem;
TISR Total de incidentes de segurança registrados;
TISTFP Total de incidentes de segurança com triagem3 fora do xxxxx xxxxxx xx
00 (xxxxxx) minutos, contados da detecção do evento de segurança.
11.4. O índice de disponibilidade de serviço será medido pela disponibilidade da ferramenta adotada pela CONTRATADA para registro de incidentes de segurança e para pesquisa de dados correlacionados e de eventos de segurança.
11.4.1. Se forem softwares diferentes, o índice será calculado com base em pesos igualmente atribuídos a cada um deles.
11.5. O cálculo mensal dos indicadores levará em conta o período entre o primeiro e o último dia de cada mês.
11.6. A CONTRATANTE se reserva o direito de auditar os indicadores a qualquer momento e também referente a qualquer período pretérito, podendo ocorrer glosas retroativas caso sejam constatados erros. Constatada alguma divergência para menor, o pagamento será glosado no mês subsequente sem prejuízo de outras glosas que venham a incidir.
11.7. Caso as metas estabelecidas para os indicadores não sejam alcançadas por 3 (três) meses consecutivos ou por 3 (três) meses intercalados, em um período de 6 (seis) meses seguidos, adicionalmente à glosa, será aplicada multa por descumprimento de indicador.
11.8. O não atingimento injustificado de pelo menos 75% da meta de qualquer indicador por 3 (três) meses consecutivos ou 5 (cinco) alternados, em intervalo de 12 (doze) meses, a critério da CONTRATANTE, e ressalvado o contraditório, poderá ensejar multas, sem prejuízo da rescisão contratual por unilateral culpa da CONTRATADA.
11.9. As solicitações de serviço ou chamados de garantia de funcionamento e suporte técnico serão feitos em meio provido pela CONTRATADA, em que deverá ser possível registrar, no mínimo:
a) descrição da solicitação;
b) nome e contato do responsável pela solicitação do serviço, por parte do órgão responsável;
c) nível de severidade do chamado, de acordo com o quadro a seguir:
Quadro 1 – Graus de severidade para requisições de serviço ou chamados de suporte técnico
Grau de severidade | Descrição |
Alta | Serviço urgente. Existe alto impacto no uso da solução no ambiente de produção e há o comprometimento do funcionamento dos trabalhos da organização. Não há solução de contorno |
Média | Serviço em que existe alto impacto no uso da solução no ambiente de produção, mas não há comprometimento do |
3 Por triagem entenda como a fase do processo de gerenciamento de incidente de segurança onde um evento de segurança é identificado e avaliado, de maneira a determinar se um incidente de segurança de fato aconteceu (ou está acontecendo), priorizando e encaminhando o incidente para as providências de contenção e resposta. Adaptado de RFC 2350. Acesso em 15/09/2021. Disponível em: xxxxx://xxx.xxxx.xxx/xxx/xxx0000.xxx
Grau de severidade | Descrição |
funcionamento por completo dos trabalhos da organização. Pode haver solução de contorno | |
Baixa | Serviço em que existe baixo impacto no uso da solução no ambiente de produção e não há comprometimento nos trabalhos da organização. Esclarecimento de dúvidas sobre as funcionalidades do software. Implantação de novas funcionalidades |
11.10. A definição da gravidade do chamado de suporte técnico será prerrogativa da CONTRATANTE.
11.11. Cada chamado técnico aberto pela CONTRATANTE será registrado pela CONTRATADA no relatório gerencial mensal, visando ao acompanhamento e controle da execução dos serviços.
11.12. Os prazos para conclusão do atendimento para os chamados de assistência técnica serão os definidos no quadro a seguir:
Quadro 2 – Prazo de conclusão das requisições de serviço ou suporte técnico em função da severidade
Grau de severidade | Prazo para conclusão |
Alta | 8 horas |
Média | 4 dias |
Baixa | 8 dias úteis |
11.13. Os tempos de atendimento serão contados a partir do recebimento da solicitação de serviço. No caso da contagem em dias, a contagem será efetuada dia a dia, incluindo o primeiro e o último dia.
11.14. O cálculo de dias úteis será realizado com base na diferença entre a data/hora final e a data/hora inicial da contagem de prazo, considerando apenas os dias úteis e o horário de funcionamento da CONTRATANTE. Serão excluídos da contagem sábados, domingos e feriados.
11.15. No período estabelecido no plano de implantação de serviço para início efetivo da prestação dos serviços, nos termos do Título 5 deste Contrato, com o objetivo de viabilizar a implantação dos recursos necessários à prestação dos serviços, será admitido desempenho inferior ao especificado.
11.16. Qualquer tentativa de burla, fraude, manipulação ou descaracterização de qualquer indicador ou meta de nível de serviço estabelecidos será punida de acordo com o previsto no Título 17 deste Contrato.
12. DOS RELATÓRIOS GERENCIAIS
12.1. A CONTRATADA deverá gerar mensalmente relatório gerencial contendo, pelo menos:
a) os incidentes de segurança ainda em aberto;
b) os incidentes de segurança resolvidos, descrevendo os detalhes técnicos do incidente, as ações realizadas para resolução e recomendações para evitar novas ocorrências;
c) as requisições de serviço não relacionadas com incidentes de segurança, ainda sem conclusão;
d) as requisições de serviço fechadas, descrevendo os detalhes da requisição, indicando o atendimento ou não aos níveis de serviço esperados;
e) resumo executivo das vulnerabilidades existentes no ambiente.
12.2. O relatório gerencial mensal poderá ser personalizado de acordo com a necessidade da CONTRATANTE, em acordo com a CONTRATADA.
12.3. O relatório gerencial deverá ser entregue em até 3 (três) dias úteis antes do envio da fatura mensal.
12.3.1. O atendimento do prazo definido neste item é condição necessária para ateste e pagamento dos serviços prestados no período.
13. DO RECEBIMENTO
13.1. O objeto contratual será recebido definitivamente se em perfeitas condições e conforme as especificações editalícias a que se vincula a proposta da CONTRATADA.
14. DO ÓRGÃO RESPONSÁVEL
14.1. Considera-se órgão responsável pela gestão deste Contrato a DIRETORIA DE INOVAÇÃO E TECNOLOGIA DA INFORMAÇÃO da CONTRATANTE, localizada no Edifício Anexo I, 11º Andar, que, por meio da COORDENAÇÃO DE ADMINISTRAÇÃO DE INFRAESTRUTURA DE TIC, designará o fiscal responsável pelos atos de acompanhamento, controle e fiscalização da execução contratual.
15. DAS OBRIGAÇÕES DA CONTRATADA
15.1. Constituem obrigações da CONTRATADA aquelas enunciadas no EDITAL e neste Contrato, observado o disposto neste Título.
15.2. A CONTRATADA deverá cumprir fielmente as obrigações assumidas, respondendo pelas consequências de sua inexecução total ou parcial.
15.3. Além do estatuído no EDITAL e neste Contrato, a CONTRATADA cumprirá as instruções complementares do Órgão Responsável, quanto à execução e ao horário de realização dos serviços, permanência e circulação de seus empregados nos locais de execução dos serviços.
15.4. Para o pessoal em serviço será exigido o porte de cartão de identificação, a ser fornecido pela prestadora dos serviços ou, no interesse administrativo, pelo Departamento de Polícia Legislativa.
15.5. Os empregados da CONTRATADA, por esta alocados na execução dos serviços, embora sujeitos às normas internas ou convencionais da CONTRATANTE, não terão com ela qualquer vínculo empregatício ou de subordinação.
15.6. Todas as obrigações tributárias, trabalhistas e sociais, inclusive aquelas relativas ao Fundo de Garantia por Tempo de Serviço (FGTS) e à Previdência Social, são de exclusiva responsabilidade da CONTRATADA, como única empregadora da mão de obra utilizada para os fins estabelecidos neste Contrato.
15.7. A CONTRATADA responderá integral e exclusivamente por eventuais reclamações trabalhistas de seu pessoal, mesmo na hipótese de ser a UNIÃO (Câmara dos Deputados) acionada diretamente como Correclamada.
15.8. A CONTRATADA assumirá inteira responsabilidade por danos ou desvios eventualmente causados ao patrimônio da CONTRATANTE ou de terceiros por ação ou omissão de seus empregados ou prepostos, na área de prestação dos serviços, mesmo que fora do exercício das atribuições previstas neste Contrato.
15.9. A CONTRATADA comunicará, verbal e imediatamente, ao Órgão Responsável, todas as ocorrências anormais verificadas na execução dos serviços e, em até 24 (vinte e quatro) horas após o ocorrido, reduzirá a escrito a comunicação verbal, acrescentando todos os dados e todas as circunstâncias julgados necessários ao esclarecimento dos fatos e entregará o termo ao Órgão Responsável.
15.10. A CONTRATADA ficará obrigada a reparar, corrigir, refazer ou substituir, a suas expensas, no todo ou em parte, o objeto deste Contrato em que se verificarem imperfeições, vícios, defeitos ou incorreções resultantes da execução dos serviços ou de materiais empregados, por exigência do Órgão Responsável, que lhe assinará prazo compatível com as providências ou reparos a realizar.
15.11. A CONTRATADA fica obrigada a manter durante toda a execução deste Contrato, todas as condições de habilitação exigidas no momento da licitação.
15.12. A CONTRATADA fica obrigada a apresentar à CONTRATANTE, sempre que expire o prazo de validade, o Certificado de Regularidade do FGTS (CRF), a Certidão Negativa de Débitos relativos a Créditos Tributários Federais e à Dívida Ativa da União (CND) e a Certidão Negativa de Débitos Trabalhistas (CNDT).
15.12.1. A não apresentação das certidões e do certificado, na forma mencionada neste Título, implicará o descumprimento de cláusula contratual, podendo, inclusive, ensejar a rescisão deste Contrato, nos termos do artigo 78 da LEI, correspondente ao artigo 126 do REGULAMENTO.
15.13. É vedada a subcontratação de pessoa jurídica para a prestação dos serviços objeto deste Contrato.
15.14. A CONTRATADA se compromete a adotar e utilizar solução tecnológica que venha a ser disponibilizada pela CONTRATANTE, sem gerar custos adicionais diretos para a CONTRATADA, para mensuração, controle e/ou monitoramento da produtividade da execução contratual.
15.15. A CONTRATADA deverá ainda:
a) seguir as normas, diretrizes e os processos de trabalho para execução dos serviços contratados;
b) executar, quando solicitada, utilizando a sua equipe alocada nas dependências da CONTRATANTE, Plano de Transição entre Contratos, definido pela CONTRATANTE, que poderá incluir, dentre outras atividades, documentar, detalhar e repassar, conforme orientação e interesse da CONTRATANTE, todo o conhecimento técnico utilizado na implementação dos serviços;
c) prestar todos os serviços objeto deste Contrato, zelando sempre pela eficiência no uso dos recursos;
d) identificar os responsáveis pela execução dos serviços;
e) prestar, a critério da CONTRATANTE e a qualquer tempo, todos os esclarecimentos sobre o progresso da execução dos serviços, com o objetivo de demonstrar a real situação das demandas;
f) comunicar à CONTRATANTE melhorias que possam ser efetuadas nos processos de trabalho para o aumento da qualidade dos serviços prestados, aumento da eficiência no desempenho deste Contrato ou sua adequação às inovações técnicas e tecnológicas surgidas no decorrer da execução contratual;
g) prestar esclarecimentos à CONTRATANTE sobre eventuais atos ou fatos que impactem nos serviços prestados;
h) elaborar e executar, em conjunto com a CONTRATANTE, projeto de passagem (migração) dos serviços objeto deste Contrato para o corpo técnico da DITEC ou a terceiros indicados, pelo menos, 90 (noventa) dias antes da rescisão ou término deste Contrato;
i) documentar, detalhar e repassar, conforme orientação e interesse da CONTRATANTE, todo o conhecimento técnico utilizado na implementação dos serviços;
j) disponibilizar meios para abertura de incidentes/solicitações via Web, via correio eletrônico ou através de número de telefone local (DDD 61) ou de discagem gratuita (0800).
16. DO PAGAMENTO
16.1. Com relação ao Subitem 1.1 do objeto (Serviço de Monitoramento e Apoio à Resposta a Incidentes de Segurança Cibernética): o objeto aceito pela CONTRATANTE será pago em parcelas mensais iguais e consecutivas após ateste da respectiva fatura do período, levando- se em consideração os níveis mínimos de serviço definidos no Título 11 deste Contrato, não se admitindo o pagamento antecipado sob qualquer pretexto.
16.1.1. O pagamento de cada parcela será feito por meio de depósito em conta corrente da CONTRATADA, em agência bancária indicada, mediante a apresentação de nota fiscal/fatura discriminada, emitida no mês subsequente ao da prestação dos serviços, após atestação pelo Órgão Responsável.
16.1.2. O início do pagamento do serviço de monitoramento de segurança será devido após emissão de Ordem de Serviço específica pelo Órgão Responsável.
16.1.3. Sobre o valor mensal dos serviços poderão incidir glosas relacionadas aos indicadores de nível de serviço, conforme o seguinte cálculo:
VAF = VBF – ∑ (VBF x PGIn)
Em que:
VAF Valor ajustado da fatura
VBF Valor base da fatura, correspondente ao valor devido no mês PGIn Percentual de glosa do indicador, onde n é o número do indicador
16.1.4. As glosas previstas pelo descumprimento dos níveis de serviço, conforme descrito no Título 11 deste Contrato, são independentes entre si e poderão ser aplicadas de forma conjunta.
16.1.5. A CONTRATANTE irá, em até 5 (cinco) dias úteis, proceder com o ateste da fatura mensal, observados os termos definidos neste Título.
16.1.6. Caso seja nova fatura precise ser emitida, devido necessidade de ajuste ou correção por parte da CONTRATADA, a CONTRATANTE terá o mesmo prazo definido no subitem anterior para proceder com a análise do documento e o ateste.
16.2. Com relação ao Subitem 1.2 do objeto (Capacitação Operacional de Software): o objeto aceito definitivamente pela CONTRATANTE será pago por meio de depósito em conta corrente da CONTRATADA, em agência bancária indicada, mediante a apresentação de nota fiscal/fatura discriminada, após atestação pelo Órgão Responsável.
16.3. A instituição bancária, a agência e o número da conta deverão ser mencionados na nota fiscal/fatura.
16.4. A nota fiscal/fatura deverá vir acompanhada do Certificado de Regularidade do FGTS (CRF), da Certidão Negativa de Débitos relativos a Créditos Tributários Federais e à Dívida Ativa da União (CND) e da Certidão Negativa de Débitos Trabalhistas (CNDT), todos dentro dos prazos de validade neles expressos.
16.5. O pagamento será feito com prazo não superior a trinta dias, contados do aceite definitivo do objeto e da comprovação da regularidade da documentação fiscal e trabalhista apresentada, prevalecendo a data que ocorrer por último.
16.5.1. No caso de atraso de pagamento, desde que a CONTRATADA não tenha concorrido de alguma forma para tanto, serão devidos pela CONTRATANTE encargos moratórios à taxa nominal de 6% a.a. (seis por cento ao ano), calculados diariamente em regime de juros simples, conforme a seguinte fórmula:
EM = I x N x VP
Na qual:
EM = Encargos Moratórios devidos;
N = Número de dias entre a data prevista para o pagamento e a do efetivo pagamento;
VP = Valor da parcela em atraso;
I = Índice de compensação financeira = 0,00016438, assim apurado:
I = i I = _6/100_ I = 0,00016438
365 365
em que i = taxa nominal de 6% a.a. (seis por cento ao ano).
Para o Subitem 1.1 do objeto: Os encargos moratórios devidos serão incluídos na fatura do mês seguinte ao da ocorrência.
16.6. Quando aplicável, o pagamento efetuado pela CONTRATANTE estará sujeito às retenções de que tratam o artigo 31 da Lei n. 8.212, de 1991, com redação dada pela Lei n. 9.711, de 1998 e Lei n. 11.933, de 2009, além das previstas no artigo 64 da Lei n. 9.430, de 1996 e demais dispositivos legais que obriguem a retenção de tributos.
16.7. Estando a CONTRATADA isenta das retenções referidas no item anterior, a comprovação deverá ser anexada à respectiva fatura.
16.8. As pessoas jurídicas enquadradas nos incisos III, IV e XI do art. 4º da Instrução Normativa RFB n. 1.234, de 2012, dispensadas da retenção de valores correspondentes ao Imposto de Renda e às contribuições administradas pela Secretaria Especial da Receita Federal do Brasil, deverão apresentar, a cada pagamento, declaração em 2 (duas) vias, assinadas pelo seu representante legal, na forma dos Anexos II, III e IV do referido documento normativo.
17. DAS SANÇÕES ADMINISTRATIVAS
17.1. Pelo descumprimento de obrigações assumidas, considerada a gravidade da transgressão, serão aplicadas as sanções previstas no artigo 87 da LEI, a saber:
a) advertência, formalizada por escrito;
b) multa, nos casos previstos no EDITAL e neste Contrato;
c) suspensão temporária para licitar e impedimento para contratar com a CONTRATANTE;
d) declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação, nos termos da lei.
17.2. Ocorrendo atraso injustificado ou com justificativa não aceita pela CONTRATANTE na conclusão dos serviços, à CONTRATADA será imposta multa calculada sobre o valor deste Contrato, de acordo com a seguinte tabela:
DIAS DE ATRASO | ÍNDICE DE MULTA | DIAS DE ATRASO | ÍNDICE DE MULTA | DIAS DE ATRASO | ÍNDICE DE MULTA |
1 | 0,1% | 15 | 2,0% | 29 | 5,7% |
2 | 0,2% | 16 | 2,2% | 30 | 6,0% |
3 | 0,3% | 17 | 2,4% | 31 | 6,4% |
4 | 0,4% | 18 | 2,6% | 32 | 6,8% |
5 | 0,5% | 19 | 2,8% | 33 | 7,2% |
6 | 0,6% | 20 | 3,0% | 34 | 7,6% |
7 | 0,7% | 21 | 3,3% | 35 | 8,0% |
8 | 0,8% | 22 | 3,6% | 36 | 8,4% |
9 | 0,9% | 23 | 3,9% | 37 | 8,8% |
10 | 1,0% | 24 | 4,2% | 38 | 9,2% |
11 | 1,2% | 25 | 4,5% | 39 | 9,6% |
12 | 1,4% | 26 | 4,8% | 40 | 10,0% |
13 | 1,6% | 27 | 5,1% | ||
14 | 1,8% | 28 | 5,4% |
17.3. Findo o prazo fixado sem que a CONTRATADA tenha concluído os serviços, além da multa prevista, poderá, a critério da CONTRATANTE, ser cancelada, parcial ou totalmente, a Nota de Empenho, sem prejuízo de outras sanções legais cabíveis.
17.4. A CONTRATADA será também considerada em atraso se prestar os serviços em desacordo com as especificações e não corrigir as inconsistências apresentadas dentro do período remanescente do prazo de execução fixado.
17.5. Na hipótese de abandono da contratação, a qualquer tempo, ficará a CONTRATADA sujeita à multa de 10% (dez por cento) sobre o valor remanescente deste Contrato, sem prejuízo de outras sanções legais cabíveis.
17.6. Os valores relativos a multas aplicadas e a danos e prejuízos eventualmente causados serão descontados dos pagamentos devidos pela CONTRATANTE ou recolhidos pela CONTRATADA à Coordenação de Movimentação Financeira, dentro de cinco dias úteis, a partir da sua notificação por carta, ou ainda, cobrados na forma da legislação em vigor.
17.7. Pelo não cumprimento das obrigações contratuais, ou execução insatisfatória dos serviços, omissão e outras faltas não justificadas ou se a CONTRATANTE julgar as justificativas improcedentes, poderão ser impostas à CONTRATADA, ainda, multas por infração cometida, limitadas, em qualquer caso, a 10% (dez por cento) do valor deste Contrato, observados, sempre, a reprovabilidade da conduta da CONTRATADA, dolo ou culpa e o disposto no item anterior e sopesados os princípios da proporcionalidade e razoabilidade, de acordo com a seguinte tabela:
ITEM | INFRAÇÃO | PERCENTUAL |
Incidência sobre o valor total do contrato vigente na data da ocorrência do fato | ||
1.1 | Falha em identificar e notificar incidente de segurança, por motivo de negligência, imprudência ou imperícia na execução das atividades contratuais, que venha a ser descoberto pela equipe técnica da CONTRATANTE - por ocorrência.................................................................... - em caso de reincidência, por ocorrência............................ | 1% 1,5% |
1.2 | Atraso injustificado para início da prestação dos serviços, de acordo com as condições estabelecidas no Título 5 deste Contrato. | 1% |
Incidência sobre o valor da fatura do mês vigente na data da ocorrência do fato | ||
1.3 | Deixar de atender ao disposto nos itens 6.19, 6.20 e 6.21 deste Contrato, por ocorrência. | 10% |
1.4 | Interromper a prestação do serviço contratado, por dia de paralisação | 5% |
1.5 | Tentativa de burla, fraude, manipulação ou descaracterização de qualquer indicador ou meta de nível de serviço estabelecidos, por ocorrência. | 5% |
1.6 | Pelo não atingimento de um mesmo nível de serviço previsto no Título 11 deste Contrato de pelo menos 75% da meta de qualquer indicador por 3 (três) meses consecutivos ou 5 (cinco) alternados, em intervalo de 12 (doze) meses | 5% |
1.7 | Não executar, quando solicitado, Plano de Transição entre contratos definido pela CONTRATANTE, por ocorrência | 5% |
1.8 | Deixar de apresentar o Termo de Compromisso de confidencialidade ou o Termo de Responsabilidade de Uso do Acesso Remoto devidamente assinados, no período de que trata o item 5.4 deste Contrato | |
ITEM | INFRAÇÃO | PERCENTUAL |
- por ocorrência.................................................................... - por dia de atraso, por ocorrência....................................... | 5% 1% | |
1.9 | Pelo descumprimento ou inobservância a qualquer item estabelecido nos Anexos n. 7 e 8, por ocorrência | 5% |
1.10 | Cumprir orientação do Órgão Responsável quanto à execução dos serviços, por ocorrência | 2,5% |
1.11 | Deixa de alcançar as metas estabelecidas para os indicadores três meses consecutivos ou por três meses intercalados, em um período de 6 (seis) meses seguidos, por indicador | 2,5% |
1.12 | Deixar de entregar os relatórios gerenciais no prazo definido no item 12.3 deste Contrato. | 1% |
1.13 | Deixar de entregar a documentação comprobatória da identificação e da qualificação técnica dos profissionais alocados na prestação dos serviços contratuais, por dia de atraso e por ocorrência. | 1% |
1.14 | Deixar de cumprir quaisquer das competências atribuídas ao preposto | 0,5% |
1.15 | Documentar os procedimentos realizados, por ocorrência | 0,5% |
1.16 | Deixar de atender solicitação de serviço ou de suporte técnico com severidade Alta dentro do prazo, sem justificativa aceita pela CONTRATANTE, nos termos do Título 11 deste Contrato - por ocorrência.................................................................... - por dia de atraso............................ | 5% 2% |
1.17 | Deixar de atender solicitação de serviço ou de suporte técnico com severidade Média dentro do prazo, sem justificativa aceita pela CONTRATANTE, nos termos do Título 11 deste Contrato - por ocorrência.................................................................... - por dia de atraso............................ | 2% 1% |
1.18 | Deixar de atender solicitação de serviço ou de suporte técnico com severidade Baixa dentro do prazo, sem justificativa aceita pela CONTRATANTE, nos termos do Título 11 deste Contrato - por ocorrência.................................................................... - por dia de atraso............................ | 1% 0,5% |
1.19 | Deixar de cumprir quaisquer das obrigações pactuadas ou previstas em lei, não previstas nesta Tabela de Multas - por ocorrência.................................................................... - em caso de reincidência, por ocorrência............................ | 0,5% 1% |
18. DOS CRITÉRIOS DE REAJUSTE
18.1. Após o período de doze meses de vigência deste Contrato, na hipótese de sua eventual prorrogação, poderá ser admitido, para a manutenção do equilíbrio econômico- financeiro da avença, reajuste de preços para os serviços especificados no Subitem 1.1 do objeto, utilizando-se o ICTI (Índice de Custos de Tecnologia da Informação), fornecido pelo IPEA (Instituto de Pesquisa Econômica Aplicada, ou, caso esse índice venha a ser extinto, o IGP-M (Índice Geral de Preços do Mercado), fornecido pela Fundação Xxxxxxx Xxxxxx.
18.1.1. A CONTRATADA poderá exercer, perante a CONTRATANTE, seu direito ao reajuste dos preços deste Contrato até a data da prorrogação contratual subsequente ou do encerramento do contrato vigente.
18.1.2. Caso a CONTRATADA não solicite de forma tempestiva o reajuste e prorrogue ou deixe encerrar o contrato sem pleiteá-lo, ocorrerá a preclusão do direito de reajustar.
19. DA GARANTIA CONTRATUAL
19.1. Para segurança do cumprimento de suas obrigações, a CONTRATADA prestará garantia correspondente a 5% (cinco por cento) do valor deste Contrato, de acordo com o artigo 56 da LEI, correspondente ao artigo 93 do REGULAMENTO, observando o disposto neste Título.
19.2. A garantia, qualquer que seja a modalidade escolhida, assegurará o pagamento de:
a) prejuízos advindos do não cumprimento do objeto do contrato;
b) multas moratórias e punitivas aplicadas pela CONTRATANTE à CONTRATADA;
c) prejuízos diretos causados à CONTRATANTE decorrentes de culpa ou xxxx durante a execução do contrato.
19.3. A garantia será prestada no prazo de 15 (quinze) dias, contado da data da entrega da via do contrato e só poderá ser levantada, após o término do prazo da vigência contratual, observado o disposto no item 19.4 deste Título.
19.3.1. Poderão ser consideradas como a data da entrega:
a) em caso de contrato assinado fisicamente: a data informada no documento de rastreamento de entrega de correspondências obtido no sítio eletrônico da Empresa Brasileira de Correios e Telégrafos – ECT, ou a data da retirada do instrumento in loco;
b) em caso de contrato assinado eletronicamente: a data do envio, por e-mail, do instrumento assinado por ambas as partes.
19.3.2. Não serão aceitas minutas de garantias.
19.3.3. A garantia, ou os documentos que a representam, deverá ser apresentada na Coordenação de Contratos da CONTRATANTE, localizada no Xxxxxxxx Xxxxx X, 00x xxxxx, xxxx 0000.
19.4. A vigência da garantia deverá corresponder ao prazo contratual acrescido de, pelo menos, 90 (noventa) dias, contados a partir do término da vigência do contrato, devendo ser renovada a cada prorrogação contratual.
19.4.1. Não serão aceitas garantias concedidas de forma proporcional ao seu prazo de validade.
19.4.2. Não serão admitidas garantias contendo cláusula que fixe prazos prescricionais distintos daqueles previstos na lei civil.
19.4.3. A CONTRATADA ficará obrigada a prorrogar a vigência da garantia apresentada sempre que a vigência contratual ultrapassar a data estimada na ocasião de sua assinatura, observado o prazo disposto no item 19.3 deste Título, considerando a via do aditivo contratual.
19.4.4. No caso de alteração do valor do contrato, a garantia deverá ser ajustada à nova situação, ainda que retroativamente.
19.5. Apresentada a garantia contratual e existindo qualquer pendência que impeça o seu recebimento definitivo, a CONTRATADA será comunicada para regularizá-la ou substituí-la, sendo-lhe assinalado o prazo de 10 (dez) dias, contado da data da notificação, que poderá ser realizada por e-mail.
19.5.1. Recebida a garantia para reexame e remanescendo a necessidade de ajuste, a CONTRATADA será novamente comunicada, sendo-lhe assinalado o prazo cabal de 5 (cinco) dias para sanear a(s) pendência(s), contado da data da notificação.
19.5.2. Ultimadas as medidas constantes deste item 19.5 sem que a garantia esteja em plenas condições de ser aceita definitivamente, serão tomadas as providências para a aplicação de sanções à CONTRATADA, de acordo com as regras previstas no EDITAL e neste Contrato.
19.6. Enquanto não constituída a garantia, o valor a ela correspondente será deduzido, para fins de retenção até o cumprimento da obrigação, de eventuais créditos em favor da CONTRATADA, decorrentes de faturamento.
19.7. A falta de prestação da garantia ou sua apresentação em desacordo com o exigido no EDITAL e neste Contrato, no prazo fixado, ensejará a aplicação de multa correspondente a 2,22% (dois inteiros e vinte e dois centésimos por cento) do valor estipulado para a garantia, por dia de atraso, a ser aplicada do 16º ao 60º dia, sem prejuízo do disposto no item 19.6 deste Título.
19.7.1. No caso de acréscimo contratual, a base de cálculo para a aplicação de multa corresponderá ao montante incrementado ao valor da garantia anterior.
19.8. A falta de prestação da garantia no prazo de 60 (sessenta) dias, contados do dia útil imediato ao da entrega da via do contrato, ensejará a instauração de processo administrativo para apuração de responsabilidade, de que poderá resultar no impedimento de licitar e contratar com a União e no descredenciamento do Sicaf, pelo prazo de até 5 (cinco) anos e, ainda, a rescisão unilateral do contrato por inexecução da obrigação e a aplicação da multa prevista no item 19.7 deste Título.
19.9. O disposto no item 19.7 deste Título aplicar-se-á também nos casos dispostos nos subitens 19.4.3 e 19.4.4 e no item 19.10 deste Título.
19.10. Se o valor da garantia for utilizado total ou parcialmente em pagamento de qualquer obrigação, durante a vigência contratual, a CONTRATADA obriga-se a fazer a respectiva reposição no prazo de 15 (quinze) dias, contado da data da notificação.
19.11. No caso de rescisão do contrato por culpa da CONTRATADA, a garantia será executada para ressarcimento à CONTRATANTE das multas e indenizações devidas, sem prejuízo da aplicação
19.12. das sanções administrativas previstas no EDITAL e neste Contrato.
19.13. Em caso de apresentação de seguro-garantia, é vedada a inclusão e/ou supressão de dispositivos nas condições gerais e especiais nele previstas que divirjam da redação original do anexo referente ao Seguro Garantia – Segurado Setor Público da Circular SUSEP n. 477, de 30 de setembro de 2013, ou norma que vier a substituí-la.
19.13.1. O seguro-garantia deverá ser emitido por seguradora em situação regular na Superintendência de Seguros Privados.
19.13.2. No instrumento do seguro-garantia a CONTRATANTE deverá constar como beneficiária do seguro.
19.13.3. É vedada a inclusão de cláusulas particulares no seguro-garantia, salvo permissão expressa da CONTRATANTE, que poderá ocorrer em momento posterior ao efetivo recolhimento da garantia, mediante consulta da CONTRATADA.
19.14. Quando se tratar de depósito caucionado, a garantia deverá observar o disposto no Decreto-Lei n. 1.737, de 1979 e orientação do SIAFI, que determinam devam ser as garantias prestadas em dinheiro, nas licitações públicas, depositadas na Caixa Econômica Federal (CEF).
19.15. No caso de garantia apresentada na modalidade de fiança bancária, deverá constar do documento renúncia expressa aos benefícios da ordem previstos no artigo 827 da Lei n. 10.406, de 2002 (Código Civil).
19.15.1. A garantia na modalidade de fiança bancária deverá ser emitida por instituição financeira autorizada a operar pelo Banco Central do Brasil.
19.16. Se a garantia for prestada em títulos da dívida pública, a aceitação será condicionada à emissão sob a forma escritural, mediante registro em sistema centralizado de liquidação e de custódia autorizado pelo Banco Central do Brasil e avaliados pelos seus valores econômicos, conforme definido pelo Ministério da Economia.
19.17. A garantia contratual será devolvida de acordo com o disposto na Ordem de Serviço
n. 02, de 2013 da Diretoria-Geral da CONTRATANTE, conforme a seguir:
19.17.1. O Departamento de Material e Patrimônio, de ofício ou por solicitação da Contratada e, após concluídas as diligências necessárias, proporá à autoridade competente a devolução da garantia contratual.
19.17.2. Autorizada a devolução, o Departamento de Finanças, Orçamento e Contabilidade preparará o expediente necessário à entrega da garantia e solicitará o comparecimento da CONTRATADA para a retirada dos documentos.
19.18. As garantias não retiradas pela CONTRATADA, independentemente do disposto nos subitens 19.16.1 e 19.16.2 deste Título, terão o seguinte tratamento:
19.18.1. A garantia prestada nas modalidades seguro-garantia ou fiança-bancária será arquivada no processo de origem do respectivo contrato após 120 (cento e vinte) dias do término da sua vigência.
19.18.2. A garantia prestada na modalidade caução em dinheiro, após 5 (cinco) anos do término de sua vigência, será transferida para o Fundo Rotativo da CONTRATANTE, após notificação prévia da CONTRATADA, mediante edital publicado no Diário Oficial da União.
19.18.3. A garantia prestada na modalidade caução em títulos da dívida pública, na forma escritural, transcorridos 120 (cento e vinte) dias do término da vigência e desde que haja manifestação favorável do Departamento de Material e Patrimônio, poderá ser desvinculada do contrato administrativo pela instituição financeira que a mantém em custódia.
19.19. Fica eleito o foro da Justiça Federal em Brasília, Distrito Federal, para decidir demandas judiciais decorrentes de questões referentes à garantia contratual.
20. DA PROTEÇÃO DE DADOS PESSOAIS
20.1. A CONTRATANTE e a CONTRATADA se comprometem a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, realizando o tratamento de dados pessoais disponibilizados pelas partes, em meios físicos ou digitais, em consonância e em cumprimento das disposições preconizadas pela Lei Geral de Proteção de Dados Pessoais, a Lei n. 13.709, de 14 de agosto de 2018, regulamentada na Câmara dos Deputados pelo Ato da Mesa n. 152, de 16 de dezembro de 2020, assim como atenderão a suas respectivas atualizações e aos padrões aplicáveis em seu segmento, vinculadas às disposições constantes do Anexo n. 12 ao EDITAL.
21. DA VIGÊNCIA E DA RESCISÃO
21.1. O presente Contrato terá vigência de 12 (doze) meses, conforme datas definidas na Folha de Rosto, podendo, com relação ao Subitem 1.1 do objeto, ser prorrogado, em conformidade com o artigo 57, inciso II da Lei n. 8.666, de 1993, e com o artigo 105, inciso II do REGULAMENTO, a critério da CONTRATANTE.
21.2. Este Contrato poderá ser rescindido nos termos das disposições contidas nos artigos 77 a 80 da LEI, correspondentes aos artigos 125 a 128 do REGULAMENTO.
22. DO FORO
22.1. Fica eleito o foro da Justiça Federal em Brasília, Distrito Federal, com exclusão de qualquer outro, para decidir demandas judiciais decorrentes do cumprimento deste Contrato.
E por estarem assim de acordo, as partes assinam o presente instrumento em 2 (duas) vias de igual teor e forma, para um só efeito.
Brasília, 08 de julho de 2022.
Pela CONTRATANTE: Pela CONTRATADA:
Xxxxx xx Xxxxxx Xxxxxxx Xxxx Xxxxx Xxxxxxxx Xxxxx
Diretor-Geral Diretor Executivo