static.portaldaindustria.com.br · Web viewO Serviço Nacional de Aprendizagem Industrial – SENAI...
Transcript of static.portaldaindustria.com.br · Web viewO Serviço Nacional de Aprendizagem Industrial – SENAI...
EDITAL DE LICITAÇÃOPREGÃO PRESENCIAL PARA REGISTRO DE PREÇOS Nº 24/2019
Processo: PRO 03423/2019 - SC nº 035994 Tipo: Menor Preço Global
Abertura: 30/8/2019 Horário: 10h Local: SBN, Quadra 1, Bloco C, Edifício Roberto Simonsen, 2º andar, CEP 70040-903 - Brasília (DF) – Fone: (61) 3317-8968/9027
O(s) Órgão(s) e/ou a(s) Entidade(s) Nacional(is) abaixo relacionado(a)(s), que integra(m) o Sistema Indústria, por intermédio da Comissão Permanente de Licitação (CPL), torna(m) pública a realização de licitação, pela modalidade PREGÃO, com Registro de Preços, do tipo Menor Preço Global, que se regerá pelo Regulamento de Licitações e Contratos do SENAI (RLC), devidamente publicado no DOU de 16/09/1998, com as posteriores alterações publicadas em 26/10/2001, 11/11/2002, 24/2/2006, 11/5/2011 e 23/12/2011, bem como pelas disposições deste Instrumento Convocatório e de seus anexos.
SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – DEPARTAMENTO NACIONAL – SENAI/DN
O edital de licitação e seus anexos poderão ser consultados ou impressos a partir do endereço http://www.portaldaindustria.com.br/licitacoes. Quaisquer pedidos de esclarecimentos em relação a eventuais dúvidas de interpretação do presente Instrumento Convocatório deverão ser dirigidos, por escrito, à CPL até o dia 28/8/2019 no SBN, Edifício Roberto Simonsen, Quadra 1, Bloco C, 2º andar, das 9h às 12h e das 14h às 18h ou por intermédio do endereço eletrônico: [email protected]. 1. OBJETO1.1. O objeto desta licitação é o Registro de Preços para contratação de Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service), contemplando:
a) Sistema digital hiper-realista para a simulação de ataques cibernéticos, com interface para capacitação de especialistas em Cibersegurança, acessado via web/internet;
b) Fornecimento de 20 licenças de uso simultâneas durante 1 ano, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença;
c) Serviços de instalação e comissionamento para pleno funcionamento do sistema digital nos locais definidos pelo SENAI, quais sejam: Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança.
d) Realização de 1 capacitação presencial para 5 docentes, com carga horária mínima de 40 horas e 1 capacitação presencial para 5 administradores, com carga horária mínima de 8 horas.1.1.1. A solução de simulação de ataques cibernéticos com interface para capacitação de especialistas, doravante denominada Plataforma de Cibersegurança, é um ambiente digital que permite a simulação de ataques cibernéticos em diversos cenários e vírus emulados, integrados a uma plataforma de cursos com conteúdos orientados ao desenvolvimento de
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 1 de 57
pré-requisitos na área de Cibersegurança. A plataforma permite ainda a adaptação às necessidades de aprendizagem de cada aluno apresentando, de forma personalizada, informações, conteúdos didáticos, avaliações, comentários, recomendações e relatórios para a gestão do ensino e aprendizagem.
1.1.2. A finalidade da contratação visa a capacitação de especialistas no Brasil em Cibersegurança, com capacidade de atendimento para até 1.000 (um mil) alunos por ano, sendo até 40 alunos por turma (com 2 alunos por licença/computador), para um curso com duração de 90 horas, ministrado ao longo de 2 semanas, e limite máximo de 25 turmas por ano.
1.1.3. A CONTRATADA deverá entregar ao contratante um plano de projeto para implantação da plataforma de cibersegurança, no idioma português (pt-BR), no prazo máximo de 30 (trinta) dias a partir da assinatura do contrato.
1.1.4. Todas as interfaces da Plataforma com os usuários finais e com os usuários administradores, tais como menus, formulários de entrada ou exibição de dados, relatórios, manuais, tutoriais e outros tipos de documentação, online ou off-line, bem como todos os requisitos da Plataforma, descritos no Anexo I-A deste edital - "Descrição dos Requisitos da Plataforma de Cibersegurança", deverão ser disponibilizados ao CONTRATANTE, no prazo de até 60 dias após a assinatura do contrato.
1.1.5. A plataforma deverá ser entregue no idioma Inglês (en-US/UK) ou português (pt-BR). O idioma inglês será considerado dado os termos técnicos relacionados a programação em TI, a vírus de sistemas computacionais e Cibersegurança, serem mundialmente reconhecidos/referenciados no idioma inglês.
1.1.6. Para provimento desta solução deverão ser observadas as condições e especificações estabelecidas no Termo de Referência, Anexo I deste edital. - Da abrangência do Projeto
1.1.7. A implantação da Solução de Plataforma de Cibersegurança ocorrerá em 5 (cinco) localidades, sendo: SENAI/DN em Brasília - Distrito Federal, e nos Departamentos Regionais da Bahia, Amazonas, Rio Grande do Sul e Rio de Janeiro, nas cidades de Salvador, Manaus, Porto Alegre e Rio de Janeiro, respectivamente
1.1.8. A Solução de Plataforma de Cibersegurança será ofertada para até 1.000 (um mil) alunos por ano, mediante a disponibilização de 20 (vinte) licenças de uso simultâneo, incluindo todos os serviços especificados nos itens 7 e 8 e seus subitens do Termo de Referência – Anexo I deste Edital.
1.1.9. As capacitações poderão ser realizadas na sede do Departamento Nacional ou dos respectivos Departamentos Regionais Aderentes.1.10. A fase de implantação terá o prazo máximo de 120 (cento e vinte) dias, que corresponde as etapas de Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança, definidas no Termo de Referência – Anexo I deste Edital.
1.11 A utilização da plataforma será por 12 (doze) meses, contados data do atesto pelo CONTRATANTE, acerca do recebimento da fase de implantação.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 2 de 57
1.12. A CONTRATADA é responsável pela elaboração de relatórios de execução das etapas do projeto, para subsidiar a avaliação da prestação dos serviços pelo SENAI/DN, e do respectivo termo de aceite/recebimento pelo CONTRATANTE.
1.13. O objeto deste edital possibilita, por meio de registro de preço, a adesão e utilização pelos Departamentos Regionais do SENAI, caso haja interesse/demanda pela expansão desta oferta.
1.14 Os Departamentos Regionais do SENAI poderão contratar total ou parcialmente os serviços descritos no Termo de Referência – Anexo I deste Edital, necessários à utilização da Plataforma – conforme sua conveniência, mediante adesão ao registro de preço – ficando a CONTRATADA obrigada a praticar os preços unitários estabelecidos em sua proposta de preços, ou preços inferiores que eventualmente pratique no mercado.
1.2. DO REGISTRO DE PREÇOS
a. Poderão aderir ao Registro de Preços, nos termos previstos do artigo 38-A e seguintes do Regulamento de Licitações e Contratos do SENAI, todos os Departamentos Regionais do SENAI.
b. Os aderentes poderão demandar o objeto da Licitação diretamente à empresa vencedora até 100% do quantitativo registrado.c. A empresa vencedora deverá assinar Termo de Compromisso de Registro de Preço com vigência de 12 (doze) meses, podendo ser prorrogado, observando-se o disposto no artigo 34 do RLC do SENAI.d. O compromisso de aquisição do objeto só estará caracterizado quando da assinatura de contrato específico celebrado entre o SENAI/DN e/ou os Departamentos Regionais do SENAI aderentes e a empresa que teve seu preço registrado.e. Os contratos decorrentes do Registro de Preço, observadas as condições previstas no Edital, seus anexos e no RLC da Entidade, serão celebrados individualmente entre o SENAI/DN e/ou os Departamentos Regionais do SENAI aderentes e a empresa que teve seu preço registrado.f. O Registro de Preço não importa em direito subjetivo de quem ofertou o preço registrado de exigir a aquisição.
2. CONDIÇÕES DE PARTICIPAÇÃO2.1. Não poderá participar da presente licitação:a) Consórcio de pessoas jurídicas.b) Pessoa jurídica impedida de licitar ou de contratar com qualquer uma das entidades que integrem o Sistema Indústria (CNI, SESI/DN, SENAI/DN e IEL/NC).c) Pessoa jurídica em processo de recuperação judicial ou em processo falimentar.d) Pessoa jurídica cujos diretores, responsáveis legais ou técnicos, membros de conselho técnico, consultivo, deliberativo ou administrativo ou sócio, sejam dirigentes ou empregados do(s) Órgão(s) e/ou da(s) Entidade(s) Nacional(is) Licitadoras.e) Pessoa jurídica cujos empregados, consultores, técnicos ou dirigentes tenham colaborado, de qualquer forma, na elaboração deste Instrumento Convocatório e de seus Anexos.f) Pessoa jurídica declarada inidônea pelo Tribunal de Contas da União, nos termos do art. 46 da Lei nº 8.443/1992.
2.2. A licitante poderá se fazer representar nesta licitação por meio de pessoa física devidamente credenciada, nos termos do instrumento constante do Anexo II - Carta de
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 3 de 57
Credenciamento - deste Instrumento Convocatório ou Procuração, que deverá ser apresentado à CPL fora dos envelopes relacionados no item 2.4 abaixo.
2.2.1. No caso da Carta de Credenciamento ou Procuração Privada, a licitante deverá entregar à CPL uma cópia autenticada do Contrato Social ou instrumento equivalente que comprove a legitimidade de poderes da pessoa que a tiver assinado, sendo permitida a sua apresentação na forma do item 3.3 deste Instrumento Convocatório.
2.2.2. Caso o representante da empresa, na sessão, seja sócio, este deverá apresentar a cópia do contrato social e a cópia da cédula de identidade, não havendo necessidade da Carta de Credenciamento.
2.2.3. A ausência da Carta de Credenciamento ou documento similar (conforme especificado no item 2.2.1) não impede a participação da licitante, mas, obsta a manifestação de representante.
2.2.4. O não credenciamento e não comparecimento de representante, não inabilita a licitante, tampouco impede o prosseguimento das fases do certame.
2.3. Nenhuma pessoa, ainda que munida de procuração, poderá representar mais de uma licitante, sob pena das demais outorgantes perderem o seu direito à representação nas sessões públicas.2.4. As licitantes, no dia, hora e local designados no preâmbulo, apresentarão toda a documentação exigida por este Instrumento Convocatório em 2 (dois) envelopes – A e B - lacrados, distintos e opacos, identificados no lado externo pelo nome da licitante e número da licitação, com os seguintes conteúdos:
· ENVELOPE "A" – PROPOSTA DE PREÇOS- Pregão Nº 24/2019- NOME DA LICITANTE: (Identificação da licitante)- CNPJ DA LICITANTE: E-mail e telefone:
· ENVELOPE "B" – DOCUMENTOS DE HABILITAÇÃO- Pregão Nº 24/2019- NOME DA LICITANTE: (Identificação da licitante)- CNPJ DA LICITANTE: E-mail e telefone:
2.4.1. Caso a licitante decida encaminhar os envelopes mediante postagem, esta deverá inserir os envelopes mencionados no item 2.4 acima, em um terceiro envelope identificado no lado externo, EXCLUSIVAMENTE, conforme disposto a seguir:
Destinatário: Comissão Permanente de Licitação (SENAI)Endereço: SBN, Quadra 1, Bloco C, Edifício Roberto Simonsen, 2º andar, CEP 70040-903, Brasília (DF).
2.4.1.1. O descumprimento, pela empresa, da forma de postagem indicada no item anterior, será de sua exclusiva responsabilidade, eximindo a Comissão de Permanente de Licitação de quaisquer consequências decorrentes de tal descumprimento.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 4 de 57
2.5. A participação na presente licitação implica aceitação integral e irretratável dos termos e condições deste Edital e dos seus Anexos, bem como do Regulamento de Licitações e Contratos do SENAI.
2.6. É permitida a participação de empresas brasileiras e de empresas estrangeiras no processo licitatório.
2.6.1. As empresas estrangeiras que não funcionem no País atenderão às exigências de habilitação, tanto quanto possível, constantes do Termo de Referência – Anexo I do Edital mediante a apresentação de documentos equivalentes, na forma dos Decretos nº 8.660 de 29/1/2016 (Promulga a “Convenção de Apostila”) e nº 8.742 de 4/5/2016, e traduzidos por tradutor juramentado, devendo ter representação legal no Brasil com poderes expressos para receber citação e responder administrativa ou judicialmente.
2.6.2. Em caso de documentos emitidos por países não partes da referida Convenção, deve-se efetuar a legalização consular unicamente junto às Repartições Consulares do Ministério das Relações Exteriores (MRE) no Exterior.
2.7. Os atestados que apresentados em língua estrangeira deverão estar acompanhados de tradução juramentada para a língua portuguesa.
3. DA HABILITAÇÃO - ENVELOPE “B”
3.1. Somente poderão participar desta licitação pessoas jurídicas legalmente estabelecidas, cujo objeto social expresso no estatuto ou no contrato social especifique atividade pertinente e compatível com o objeto da presente licitação.
3.2. Para os fins de habilitação, todas as licitantes deverão apresentar os documentos relacionados neste tópico, na sua versão original ou em cópia autenticada, entregues, preferencialmente, na mesma ordem em que eles se encontram aqui descritos e com a identificação pelo número de cada um dos itens.
3.2.1. Os documentos relativos à habilitação jurídica da licitante, que já tiverem sido apresentados por ocasião do credenciamento, ficam dispensados de serem inseridos no envelope de habilitação.
3.3. Os documentos apresentados em cópias simples deverão ser autenticados em cartório ou acompanhados de suas respectivas vias originais para serem conferidos pela Comissão Permanente de Licitação, exceto aqueles obtidos pela internet.
3.3.1. Todas as certidões apresentadas deverão ter sido emitidas em no máximo 60 (sessenta) dias anteriores à data da abertura do certame, caso não possuam prazo próprio de validade.
3.4. A CPL poderá efetuar diligências a fim de comprovar a veracidade das informações e dos documentos apresentados pelas licitantes, inclusive quanto à regularidade fiscal que poderá ser comprovada mediante pesquisa nos sítios oficiais na internet.
3.5. Serão inabilitadas as empresas que não tenham atendido às condições estabelecidas neste item.
Habilitação Jurídica
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 5 de 57
3.6. Para fins de habilitação jurídica, a licitante deverá apresentar:
3.6.1. Ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado.
3.6.1.1. As sociedades, qualquer que seja a forma jurídica, administradas por pessoa(s) designada(s) em separado do ato constitutivo, deverão apresentar o ato de designação respectivo, devidamente averbado no Registro Público competente.
Qualificação Técnica
3.7. Para fins de habilitação da qualificação técnica, a licitante deverá apresentar:
3.7.1. Comprovação de aptidão para o desempenho de atividade pertinente e compatível, em características, quantidades e prazos com o objeto da licitação, por meio da apresentação de 1 (um) ou mais atestados, fornecidos por pessoa jurídica (CNPJ), de direito público ou privado, que comprove(m) experiência anterior no fornecimento de Plataforma de Cibersegurança, contendo ainda as seguintes informações:a) Nome, CNPJ e endereço do emitente do atestado;b) Nome, CNPJ e endereço da empresa que prestou o serviço;c) Identificação do signatário (nome, cargo ou função que exerce junto ao emitente);d) Nome, telefone e e-mail para contato com o emitente do atestado;e) Atestar prestação do serviço com duração mínima de 1 mês;f) Com o número mínimo de 100 (cem) usuários/alunos ativos em Plataforma de Cibersegurança.
3.7.2. Os atestados que forem apresentados em língua estrangeira deverão estar acompanhados de tradução juramentada para a língua portuguesa.
3.7.3. Qualquer informação incompleta ou inverídica constante dos documentos de capacitação técnica apurada pela CPL, mediante simples conferência ou diligência, implicará na inabilitação da respectiva licitante.
Qualificação Econômico-Financeira3.8. Para fins de habilitação econômico-financeira, a licitante deverá apresentar:3.8.1. Certidão Negativa de Falência, recuperação judicial ou recuperação extrajudicial, expedida pelo distribuidor da sede da pessoa jurídica no prazo de validade.
Regularidade Fiscal
3.9. Para fins de regularidade fiscal, a licitante deverá apresentar:
3.9.1. Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ).
3.9.2. Prova de regularidade fiscal com a Fazenda Nacional, Estadual e Municipal, se houver, relativo ao domicílio ou sede da licitante, mediante a apresentação dos seguintes documentos:
3.9.2.1. Prova de regularidade referente a todos os créditos tributários federais e à Dívida Ativa da União (DAU) administrados pela Fazenda Nacional será efetuada mediante apresentação de certidão expedida conjuntamente pela Secretaria da Receita Federal do Brasil (RFB) e pela Procuradoria-Geral da Fazenda Nacional (PGFN), na forma prevista na Portaria PGFN/RFB Nº 1751, de 2 de outubro de 2014.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 6 de 57
3.9.2.2. Certidão Negativa da Secretaria da Fazenda e Planejamento do Governo do Distrito Federal, para empresas sediadas em Brasília (DF).
3.9.2.3. Certidão Negativa do ICMS e/ou ISS, se houver, com as Fazendas Estadual e Municipal, respectivamente, para as empresas sediadas em outras localidades.
3.9.3. Certificado de Regularidade do FGTS (CRF), expedido pela Caixa Econômica Federal.
4. DA PROPOSTA DE PREÇOS - ENVELOPE "A"
4.1. O Envelope “A” conterá a "Proposta de Preços", observando o modelo constante no Anexo III, datada, impressa e assinada, sem emendas, ressalvas, rasuras ou entrelinhas.
4.1.1. Sendo o caso de proposta de preços por valor global com somatório de itens, a falta de cotação de preço para qualquer deles, relacionados no Anexo III, desclassificará a licitante.
4.2. As licitantes deverão indicar o prazo de validade das propostas, não inferior a 60 (sessenta) dias corridos, contados da data da entrega daquelas.
4.3. A proposta deverá ser cotada por preço total, fixo e irreajustável, em moeda corrente nacional (Real), em algarismos e por extenso, incluindo todos os custos decorrentes do fornecimento e serviços objeto desta licitação, bem como todos os tributos e encargos trabalhistas, previdenciários, comerciais, além de seguros, fretes, deslocamentos de pessoal para Brasília/DF e/ou sedes dos Departamentos Regionais aderentes, se houverem, e quaisquer outros custos que incidam direta ou indiretamente nesta contratação.
4.4. Na hipótese de discordância entre os preços apresentados, a cotação indicada por extenso prevalecerá sobre a numérica.
4.5. Serão desclassificadas as empresas que não tenham atendido às condições estabelecidas neste Item.
5. DOS PROCEDIMENTOS
5.1. Os envelopes "A" e "B" deverão ser enviados ou entregues até o dia e hora indicados no preâmbulo deste Edital, no Edifício Roberto Simonsen, situado no SBN, Quadra 1, Bloco C, 2º andar, Brasília (DF), CEP 70040-903, aos cuidados da Gerência de Compras - GECOM, sendo vedado o seu recebimento em momento posterior ou local diferente do previsto.
5.1.1. A presente licitação terá as fases de habilitação e proposta de preços invertidas, nos termos do artigo 17 do RLC do SENAI, abrindo-se primeiro os envelopes de habilitação e, após, as propostas de preços das licitantes habilitadas.
5.1.2. Recebidos os envelopes de todos os licitantes, eles serão rubricados no lacre por membro da Comissão de Licitação e por um representante de cada licitante presente.
EXAME DOS DOCUMENTOS DE HABILITAÇÃO
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 7 de 57
5.2. A Comissão de Licitação procederá primeiramente à abertura do Envelope "B" – Documentos de Habilitação de todas as licitantes. Os membros da Comissão de Licitação rubricarão todas as folhas dos referidos documentos, e os representantes dos licitantes presentes serão convidados a fazerem o mesmo.
5.2.1. Se entender necessário, a CPL poderá suspender a sessão para exame dos documentos de habilitação, sendo que a sua decisão deverá ser lavrada em Ata própria e divulgada às licitantes participantes diretamente, ou por publicação numa das formas previstas no § 1º do art. 5º do Regulamento de Licitações e Contratos do SENAI, ou ainda por qualquer outro meio formal.
5.2.2. Nos termos do §1º do art. 22 do RLC do SENAI, caberá recurso da decisão que inabilitar as licitantes.
5.2.3. Divulgados os resultados dos Documentos de Habilitação e julgados eventuais recursos interpostos, ou havendo a desistência expressa das licitantes em recorrer, a CPL procederá à abertura dos envelopes das propostas de preços, exclusivamente das licitantes habilitadas.
EXAME E CLASSIFICAÇÃO DAS PROPOSTAS DE PREÇOS
5.3. Após a verificação dos Documentos de Habilitação e julgados eventuais recursos, serão avaliadas as Propostas de Preços (Envelope A) das empresas licitantes, ao que o pregoeiro comunicará aos participantes quais serão aquelas que continuarão no processo licitatório.
5.4. Serão classificadas para a fase dos lances verbais as propostas que atenderem às exigências de apresentação da Proposta de Preços e não apresentarem diferença de preços superior a 15% (quinze por cento) do Menor Preço Global proposto.
5.5. Quando não forem classificadas no mínimo 3 (três) propostas na forma definida no item anterior, serão classificadas, sempre que atenderem as demais condições definidas neste instrumento convocatório, a de menor preço e as 2 (duas) melhores propostas de preços subsequentes.
5.6. A classificação de apenas 2 (duas) Propostas de Preços não inviabilizará a realização da fase de lances verbais.
5.7. As propostas que, em razão dos critérios definidos nos itens 5.6 e 5.7, não integrarem a lista de classificadas para a fase de lances verbais, serão consideradas automaticamente desclassificadas do certame.
5.8. Da desclassificação das propostas de preços somente caberá pedido de reconsideração à própria comissão de licitação, com a justificativa de suas razões, a ser apresentado de imediato, oralmente ou por escrito, na mesma sessão pública em que vier a ser proferida.
5.9. A CPL analisará e decidirá de imediato o pedido de reconsideração, sendo-lhe facultado, para tanto, suspender a sessão pública.
5.10. Da decisão da CPL relativa ao pedido de reconsideração não caberá recurso.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 8 de 57
LANCES VERBAIS
5.11. Após a classificação das propostas, terá início a fase de apresentação de lances verbais.
5.12. O pregoeiro realizará uma rodada de lances, convidando o autor da proposta de maior preço classificada a fazer o seu lance, e, em seguida, os demais classificados na ordem decrescente de preço.
5.13. Havendo lance, o pregoeiro realizará uma nova rodada, começando pelo autor da última proposta de maior preço, e assim sucessivamente, até que, numa rodada completa, não haja mais lance e se obtenha, em definitivo, a proposta de menor preço.
5.14. Só serão considerados os lances inferiores ao último menor preço obtido.
5.15. A licitante que não apresentar lance numa rodada não ficará impedida de participar de nova rodada, caso ela ocorra.
5.16. Não havendo lances verbais na primeira rodada, serão consideradas as propostas escritas de preço classificadas para esta fase.
5.17. O Pregoeiro após declarar encerrada a fase de lances verbais, ordenará as propostas em ordem crescente de menor preço.
5.18. Será classificada como primeira colocada do certame, provisoriamente, a licitante que atender as condições do edital e apresentar o menor preço global. As demais licitantes, que atenderem às exigências de apresentação da Proposta de Preços, serão classificadas em ordem crescente de preço.
DA PROPOSTA DE PREÇOS DEFINITIVA
5.19. Ocorrendo lances verbais, a licitante vencedora deverá apresentar, em até 2 (dois) dias úteis seguintes à sessão que declarou a empresa vencedora, a Proposta de Preços Definitiva, no mesmo modelo do Anexo III.
5.20. Na hipótese da Proposta de Preços Definitiva contemplar vários itens, o ajuste deverá ser realizado de forma linear sobre os preços unitários, sobre o preço total do item e sobre o valor global, aplicando-se o mesmo desconto, de modo que a Proposta de Preços Definitiva reflita a redução de preço proporcionada pelo lance vencedor.
6. DO JULGAMENTO
6.1. Para o efeito do julgamento das propostas levar-se-á em conta, no interesse do SENAI/DN, o Menor Preço Global, conforme disposto no Anexo III (Proposta de Preços).
7. DOS RECURSOS
7.1. Em função da inversão de fases autorizada pelo artigo 17 do RLC do SENAI, caberão recursos escritos e fundamentados, nos termos do § 1º do artigo 22 do mesmo RLC, quanto aos resultados da fase de HABILITAÇÃO assim como da decisão que declarar o licitante vencedor, os quais terão efeito suspensivo, dirigidos, por intermédio da Comissão Permanente de Licitação, à Autoridade Recursal.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 9 de 57
7.1.1. Os recursos deverão ser interpostos no prazo máximo de 2 (dois) dias úteis, pela licitante que se julgar prejudicada, a contar da intimação da decisão recorrida.
7.2. A licitante que puder vir a ter a sua situação efetivamente prejudicada em razão de recurso interposto poderá sobre ele se manifestar no mesmo prazo recursal de 2 (dois) dias úteis, que correrá da comunicação da interposição do recurso, conforme disposto no § 3º art. 22, do Regulamento de Licitações e Contratos (RLC).
7.3. Os recursos serão julgados pela Autoridade Recursal ou por quem este delegar competência nos termos do artigo 23 do Regulamento de Licitações e Contratos (RLC).
7.4. O provimento do recurso importará na invalidação apenas dos atos insuscetíveis de aproveitamento.
7.5. Os recursos deverão ser apresentados por meio de petição circunstanciada e protocolados no horário de 9h as 18h, exclusivamente na GECOM – Gerência Compras, situada no SBN, Quadra 1, Bloco C, Edifício Roberto Simonsen, 2º andar, Brasília (DF).
7.5.1. Não serão considerados os recursos protocolados fora do horário e em local diferente do indicado no item 7.5.
8. DA HOMOLOGAÇÃO, ADJUDICAÇÃO E DA ASSINATURA DO TERMO DE COMPROMISSO
8.1. Homologado o procedimento licitatório, a licitante que ofertou o preço a ser registrado será convocada para assinar o Termo de Compromisso de Registro de Preços, consignando na convocação a data, hora e local determinados para esse fim.
8.1.1. Verificada a recusa em assinar o Termo de Compromisso de Registro de Preços, o SENAI/DN poderá convocar as demais licitantes, obedecida a ordem final de classificação.
8.2. Cabe aos Aderentes a conveniência acerca da adesão ao Registro de Preços, bem como as obrigações dele decorrentes.
8.3. O contrato poderá ser aditado nas hipóteses de complementação ou acréscimo que se fizer no objeto, até 25% (vinte e cinco por cento) do valor inicial atualizado, quando for do interesse da contratante, nos termos do art. 30 do seu RLC.
8.4. Os contratos a serem celebrados entre o SENAI/DN e/ou os Departamentos Regionais do SENAI aderentes e a empresa que teve seus preços registrados deverão regular as condições de fornecimento, no que se refere aos prazos, pagamento, obrigação das partes contratantes, de acordo com o previsto neste Edital, seus anexos, na proposta de preço registrada e no Termo de Compromisso de Registro de Preços.
9. DO PAGAMENTO
9.1. O pagamento dar-se-á nos termos e condições previstos no Termo de Referência –Anexo I deste Edital.
10. DAS PENALIDADES
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 10 de 57
10.1. A recusa injustificada do adjudicatário em assinar o Contrato, dentro do prazo estipulado, caracteriza o descumprimento total da obrigação assumida, sujeitando-o cumulativamente, à:
10.1.1. Multa de 10% (dez por cento) do valor total da proposta de preços;
10.1.2. Suspensão temporária do direito de participar em licitação e de contratar com o(s) Órgão(s) e/ou a(s) Entidade(s) Nacional(is) licitador(es), por até 2 (dois) anos.
10.2. As demais penalidades constam da Minuta Termo de Compromisso – Anexo IV deste instrumento convocatório.
11. DAS FONTES DE RECURSOS
11.1. As despesas correrão por conta dos seguintes Códigos Orçamentários, descritos no Termo de Referência – Anexo I deste Edital.
12. DAS DISPOSIÇÕES GERAIS
12.1. Somente a CPL dirimirá as dúvidas e omissões decorrentes deste Instrumento Convocatório e seus Anexos, por escrito, aos pedidos de esclarecimentos sobre a licitação, que serão feitos diretamente ao consulente e também poderão ser divulgadas às demais empresas.
12.2. Serão inabilitadas as licitantes e/ou desclassificadas as propostas que não tenham atendido as condições estabelecidas neste Instrumento Convocatório e seus Anexos.
12.3. O SENAI/DN se reserva o direito de cancelar esta licitação antes da assinatura do contrato, mediante prévia justificativa, sem que caiba às licitantes qualquer reclamação ou indenização (art. 40 do RLC).
12.4. A CPL poderá solicitar, a seu critério, esclarecimentos e informações complementares ou efetuar diligências, caso julgue necessário, visando melhor desempenhar suas funções institucionais, desde que disso não decorra a posterior inclusão de documentos que deveriam constar originariamente dos envelopes entregues pelas licitantes.
12.5. Qualquer alteração neste Edital será comunicada aos interessados pela mesma forma com que se deu a divulgação ao texto original, reabrindo-se o prazo inicialmente estabelecido, exceto quando a alteração não afetar a formulação das propostas. Neste último caso, as alterações serão publicadas exclusivamente na página do(s) Órgão(s) e/ou a(s) Entidade(s) Nacional(is) na internet, no endereço http://www.portaldaindustria.com.br, sem necessidade de reabertura de prazos.
12.6. As empresas interessadas deverão manter-se atualizadas de quaisquer alterações e/ou esclarecimentos sobre o edital, através de consulta permanente ao endereço acima indicado, não cabendo ao SENAI/DN a responsabilidade pela não observância deste procedimento.
12.7. Entregues os envelopes A e B à Comissão Permanente de Licitação e desde que aberto pelo menos um deles, de qualquer um dos licitantes, não será mais permitida a desistência de participação no certame.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 11 de 57
12.8. Das sessões públicas serão lavradas atas, as quais serão assinadas pelos membros da CPL e pelas licitantes presentes, se assim o desejarem, com os registros de todas as ocorrências.
12.9. Os envelopes dos licitantes ainda lacrados e não utilizados no certame serão disponibilizados para retirada no prazo de até 30 (trinta) dias contados da assinatura do contrato. Decorrido esse prazo poderá ser providenciada a sua destruição.
12.10. Fica eleito o Foro de Brasília (DF), para dirimir eventual controvérsia que decorra da presente licitação.
12.11. Constituem partes integrantes e complementares deste instrumento os seguintes anexos:
Anexo I - Termo de Referência: Anexo I-A - Requisitos Técnicos para Plataforma de Cibersegurança Anexo I-B – Cláusulas de Segurança da Informação Anexo II - Modelo de Carta de Credenciamento Anexo III - Modelo de Proposta de Preços Anexo IV - Modelo de Termo de Compromisso
Brasília-DF, 21 de agosto de 2019.
___________________________Dulce Spies
Comissão Permanente de Licitação
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 12 de 57
ANEXO ITERMO DE REFERÊNCIA – TR
1. JUSTIFICATIVA E FINALIDADE 1.1. De acordo com a Kaspersky, cibersegurança é a prática que protege computadores e servidores, dispositivos móveis, sistemas eletrônicos, redes e dados de ataques maliciosos. Também é chamada de segurança de tecnologia da informação ou segurança de informações eletrônicas. O termo é muito abrangente e se aplica a tudo o que se refere a segurança de computadores e conscientização do usuário final. A cibersegurança conta com protocolos de criptografia usados para codificar e-mails, arquivos e outros dados importantes. Ela não apenas protege as informações transmitidas, mas também evita que sejam perdidas ou roubadas.1.2. Segundo o portal Afrika, governos, militares, corporações, instituições financeiras, hospitais e outras organizações recolhem, processam e armazenam uma grande quantidade de informações confidenciais em computadores, e transmitem esses dados através de redes para outros lugares do mundo. Com o crescente volume e sofisticação dos ataques cibernéticos, a atenção contínua é necessária para proteger os negócios e informações pessoais, bem como salvaguardar a segurança nacional.1.3. Os desafios impostos pela 4a Quarta Revolução Industrial, e de suas tecnologias habilitadoras como Sistemas Ciberfísicos (CPS) e a Internet das Coisas (IoT), irão gerar uma quantidade imensurável de dados e informações, que se não forem devidamente protegidas poderão trazer um caos a segurança de fábricas e pessoas. Dado tal falto, a relevância de se investir na capacitação de profissionais em Cibersegurança é fundamental para preparação de um país e seus principais agentes aos requisitos da Industria 4.0.1.4. Segundo dados do portal Convergência Digital, um levantamento realizado pelo Instituto Ponemon, a pedido da Websense, e feito com a participação de quase cinco mil profissionais de segurança em TI em 15 países, entre eles, o Brasil, revela que, aqui, mais da metade das empresas - 58%, não oferecem educação em cibersegurança aos funcionários. Mas há um dado ainda pior: apenas 10% das corporações pesquisadas admitem que vão fazer alguma ação do tipo nos próximos 12 meses. O estudo ouviu quase 400 profissionais de segurança no Brasil.1.5. Os resultados revelam um consenso global de que as organizações devem corrigir a lacuna de comunicação entre as equipes de segurança e executivos para melhor proteção contra-ataques avançados e o roubo de dados, e investir mais na educação dos funcionários, mas não é isso que acontece na prática. O levantamento mostra ainda que no Brasil, 75% dos profissionais acreditam que o roubo de propriedade intelectual, violação envolvendo dados de clientes e perda de receita por parada do sistema são os eventos mais preocupantes para a área de segurança.1.6 Dado tal cenário acima evidenciado, a proposta consiste na implantação de um projeto, contando com as infraestruturas e expertises existentes no SENAI, vinculadas a área de Tecnologia da Informação, visando a mudança da cultura atual sobre o tema e preparando o Brasil e sua indústria para o desafio imposto pela tecnologia habilitadora Cibersegurança no contexto da Industria 4.0 e, para isso, publica o presente Edital de licitação.
2. SOBRE O SENAI
O CONTRATANTE do objeto deste instrumento é o SENAI, com as seguintes características básicas:
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 13 de 57
O Serviço Nacional de Aprendizagem Industrial – SENAI é uma entidade de direito privado, sem fins lucrativos, vinculado ao sistema sindical. Foi criado pelo Decreto-Lei 4.048, de 22 de janeiro de 1942, para promover a formação profissional de trabalhadores e cooperar no desenvolvimento de pesquisas tecnológicas de interesses para a indústria e atividades assemelhadas. O SENAI tem um regime de unidade normativa e de descentralização executiva. Para realização de suas atividades, são constituídos órgãos normativos e órgãos de administração nacional (Departamento Nacional - DN) e regional (Departamentos Regionais – DRs), sob a organização e administração da Confederação Nacional da Indústria - CNI e das Federações das Indústrias. O SENAI é um dos cinco maiores complexos de educação profissional do mundo e o maior da América Latina. Seus cursos formam profissionais para 28 áreas da indústria brasileira, desde a iniciação profissional até a graduação e pós-graduação tecnológica.
3. OBJETO
3.1. O objeto desta licitação é o Registro de Preços para contratação de Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service), contemplando:a) Sistema digital hiper-realista para a simulação de ataques cibernéticos, com interface para capacitação de especialistas em Cibersegurança, acessado via web/internet;b) Fornecimento de 20 licenças de uso simultâneas durante 1 ano, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença;c) Serviços de instalação e comissionamento para pleno funcionamento do sistema digital nos locais definidos pelo SENAI, quais sejam: Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança.d) Realização de 1 capacitação presencial para 5 docentes, com carga horária mínima de 40 horas e 1 capacitação presencial para 5 administradores, com carga horária mínima de 8 horas;3.1.1. A solução de simulação de ataques cibernéticos com interface para capacitação de especialistas, doravante denominada Plataforma de Cibersegurança, é um ambiente digital que permite a simulação de ataques cibernéticos em diversos cenários e vírus emulados, integrados a uma plataforma de cursos com conteúdos orientados ao desenvolvimento de pré-requisitos na área de Cibersegurança. A plataforma permite ainda a adaptação às necessidades de aprendizagem de cada aluno apresentando, de forma personalizada, informações, conteúdos didáticos, avaliações, comentários, recomendações e relatórios para a gestão do ensino e aprendizagem.3.1.2. A finalidade da contratação visa a capacitação de especialistas no Brasil em Cibersegurança, com capacidade de atendimento para até 1.000 (um mil) alunos por ano, sendo até 40 alunos por turma (com 2 alunos por licença/computador), para um curso com duração de 90 horas, ministrado ao longo de 2 semanas, e limite máximo de 25 turmas por ano.3.1.3. A CONTRATADA deverá entregar ao contratante um plano de projeto para implantação da plataforma de cibersegurança, no idioma português (pt-BR), no prazo máximo de 30 (trinta) dias a partir da assinatura do contrato.3.1.4. Todas as interfaces da Plataforma com os usuários finais e com os usuários administradores, tais como menus, formulários de entrada ou exibição de dados, relatórios, manuais, tutoriais e outros tipos de documentação, online ou off-line, bem como todos os requisitos da Plataforma, descritos no Anexo I-A deste TR - "Descrição
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 14 de 57
dos Requisitos da Plataforma de Cibersegurança", deverão ser disponibilizados ao CONTRATANTE, no prazo de até 60 dias após a assinatura do contrato.3.1.5. A plataforma deverá ser entregue no idioma Inglês (en-US/UK) ou português (pt-BR). O idioma inglês será considerado dado os termos técnicos relacionados a programação em TI, a vírus de sistemas computacionais e Cibersegurança, serem mundialmente reconhecidos/referenciados no idioma inglês.3.1.6. Para provimento desta solução deverão ser observadas as condições e especificações estabelecidas neste Termo de Referência.
4. DA PARTICIPAÇÃO DE EMPRESA ESTRANGEIRA
4.1. É permitida a participação de empresas brasileiras e de empresas estrangeiras no processo licitatório.4.1.1. As empresas estrangeiras que não funcionem no País atenderão às exigências de habilitação, tanto quanto possível, constantes deste Termo de Referência mediante a apresentação de documentos equivalentes, na forma dos Decretos nº 8.660 de 29/01/2016 (Promulga a “Convenção de Apostila”) e nº 8.742 de 04/05/2016, e traduzidos por tradutor juramentado, devendo ter representação legal no Brasil com poderes expressos para receber citação e responder administrativa ou judicialmente.4.1.2. Em caso de documentos emitidos por países não partes da referida Convenção, deve-se efetuar a legalização consular unicamente junto às Repartições Consulares do Ministério das Relações Exteriores (MRE) no Exterior.4.1.3. Os atestados que forem apresentados em língua estrangeira deverão estar acompanhados de tradução juramentada para a língua portuguesa.
5. ABRANGÊNCIA DO PROJETO
5.1. A implantação da Solução de Plataforma de Cibersegurança ocorrerá em 5 (cinco) localidades, sendo: SENAI/DN em Brasília - Distrito Federal, e nos Departamentos Regionais da Bahia, Amazonas, Rio Grande do Sul e Rio de Janeiro, nas cidades de Salvador, Manaus, Porto Alegre e Rio de Janeiro, respectivamente5.1.1. A Solução de Plataforma de Cibersegurança será ofertada para até 1.000 (um mil) alunos por ano, mediante a disponibilização de 20 (vinte) licenças de uso simultâneo, incluindo todos os serviços especificados nos itens 7 e 8 e seus subitens deste Termo de Referência.5.1.2. As capacitações poderão ser realizadas na sede do Departamento Nacional ou dos respectivos Departamentos Regionais Aderentes.5.2. A fase de implantação terá o prazo máximo de 120 (cento e vinte) dias, que corresponde as etapas de Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança, definidas neste TR.5.2.1. A utilização da plataforma será por 12 (doze) meses, contados data do atesto pelo CONTRATANTE, acerca do recebimento da fase de implantação.5.2.2. A CONTRATADA é responsável pela elaboração de relatórios de execução das etapas do projeto, para subsidiar a avaliação da prestação dos serviços pelo SENAI/DN, e do respectivo termo de aceite/recebimento pelo CONTRATANTE.5.3. O objeto deste TR possibilita, por meio de registro de preço, a adesão e utilização pelos Departamentos Regionais do SENAI, caso haja interesse/demanda pela expansão desta oferta.5.4. Os Departamentos Regionais do SENAI poderão contratar total ou parcialmente os serviços descritos neste TR, necessários à utilização da Plataforma – conforme sua
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 15 de 57
conveniência, mediante adesão ao registro de preço – ficando a CONTRATADA obrigada a praticar os preços unitários estabelecidos em sua proposta de preços, ou preços inferiores que eventualmente pratique no mercado.
6. HABILITAÇÃO DA LICITANTE Qualificação Técnica
6.1. Para fins de habilitação da qualificação técnica, a licitante deverá apresentar:6.2.1. Comprovação de aptidão para o desempenho de atividade pertinente e compatível, em características, quantidades e prazos com o objeto da licitação, por meio da apresentação de 1 (um) ou mais atestados, fornecidos por pessoa jurídica (CNPJ), de direito público ou privado, que comprove(m) experiência anterior no fornecimento de Plataforma de Cibersegurança, contendo ainda as seguintes informações:a) Nome, CNPJ e endereço do emitente do atestado;b) Nome, CNPJ e endereço da empresa que prestou o serviço;c) Identificação do signatário (nome, cargo ou função que exerce junto ao emitente);d) Nome, telefone e e-mail para contato com o emitente do atestado;e) Atestar prestação do serviço com duração mínima de 1 mês;f) Com o número mínimo de 100 (cem) usuários/alunos ativos em Plataforma de Cibersegurança.6.2.2. Os atestados que forem apresentados em língua estrangeira deverão estar acompanhados de tradução juramentada para a língua portuguesa.
DETALHAMENTO DO OBJETO
7. FORNECIMENTO DE PLATAFORMA DE CIBERSEGURANÇA7.1. QUANTIDADE DE USUÁRIOS7.1.1. A tabela a seguir detalha os quantitativos estimados para a operação anual de até 1.000 (um mil) alunos, sendo até 40 alunos por turma (com 2 alunos por licença/computador), para um curso com duração de 90 horas, ministrado ao longo de 2 semanas, e limite máximo de 25 turmas por ano, que deverão ser atendidos pela Plataforma:
Item Perfil Descrição Quantidade
AUsuário
Administrador
Usuários responsáveis pela administração e pelas
configurações na Plataforma.
5 usuários
B UsuárioDocente
Usuários responsáveis por ministrar os conteúdos na
Plataforma
5 usuários/docentes
C Usuário FinalAluno
Usuários consumidores dos conteúdos gerados e/ou disponibilizados na
Plataforma
Até 40 usuários/alunos,
por turma
7.1.2. Para viabilizar o acesso dos usuários à Plataforma, cabe à CONTRATADA realizar carga de dados dos alunos e docentes, e demais cadastros necessários para o acesso e uso da Plataforma.
7.2. INFRAESTRUTURA DE TI PARA SUSTENTAÇÃO DA SOLUÇÃO
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 16 de 57
7.2.1. Trata-se da infraestrutura de TI exigida para total sustentação da Plataforma de Cibersegurança, de responsabilidade da CONTRATADA, para assegurar sua plena oferta e operação pelo SENAI, compreendendo: hardwares, softwares, recursos de comunicação, segurança da informação, e a prestação de serviços de sustentação dos ambientes de desenvolvimento, homologação e produção (Sistemas Operacionais, Web/App, Bancos de Dados, Rede, Armazenamento de Dados e Produtos Básicos), implantação da infraestrutura, monitoração e Service Desk, nos termos e condições constantes deste termo de referência.7.2.2. Os serviços deverão prover uma infraestrutura de alta disponibilidade, no que tange:7.2.2.1. A realização de tarefas diárias para o pleno funcionamento de toda a infraestrutura, de forma integral, ininterrupta e proativa, ou seja, "24x7x365" (vinte e quatro horas por dia, sete dias por semana, ao longo do ano), mantendo o pleno funcionamento da Plataforma.7.2.2.2. Ao monitoramento, gerenciamento e operação dos recursos computacionais, mantendo-os disponíveis e operando dentro de padrões acordados.7.2.2.3. A administração das informações residentes nas bases de dados de configuração, relativas aos recursos computacionais, suas relações entre si e com as visões de negócio do CONTRATANTE.7.2.2.4. A sustentação da infraestrutura computacional.7.2.2.5. Ao atendimento aos usuários quanto às dúvidas, incidentes e solicitações de serviço.7.2.2.6. A garantia da segurança da informação adequada, inclusive com previsão de site backup para uso, no caso de desastres.7.2.2.7. A disponibilização de relatórios de gestão e controle, conforme necessidade do CONTRATANTE.7.2.2.8. A geração da documentação do ambiente e mantê-la atualizada.7.2.3. O monitoramento da infraestrutura envolverá todos os ambientes (Sistemas Operacionais, Web/App, Bancos de Dados, Rede, Armazenamento de Dados e Produtos Básicos).7.2.4. Os serviços serão avaliados, através dos Níveis de Serviço especificados neste Termo de Referência no item 7.10.7.2.5. Todos os softwares necessários para a prestação dos serviços são de responsabilidade da CONTRATADA, incluindo, necessariamente os softwares de monitoração, backup/restore, aferição dos níveis de serviço, segurança da informação, terminal service, sistemas operacionais e bancos de dados.7.2.5.1. Os softwares de apoio utilizados pela CONTRATADA deverão ser conhecidos e aprovados previamente pelo CONTRATANTE, de forma a manter a compatibilidade e total aderência aos produtos utilizados.7.2.5.2. A CONTRATADA deverá garantir que o sistema por ela mantido está livre de qualquer rotina não autorizada pelo CONTRATANTE tais como: vírus, spywares e demais softwares maliciosos ou quaisquer componentes que venham danificar ou degradar dados, softwares e hardwares.7.2.6. Qualquer mudança das versões de softwares especificadas no presente instrumento, bem como a inclusão de novos componentes de softwares e o upgrade dos servidores, deverá ser avaliada e negociada previamente entre as partes, e somente poderá ser executada mediante formal autorização do CONTRATANTE.
7.3. DOCUMENTAÇÃO DA PLATAFORMA
7.3.1. Trata-se da documentação detalhada de todos os produtos e serviços executados na fase de adaptação da Plataforma, incluindo detalhamento de métodos, normas, padrões, técnicas, procedimentos, rotinas, ferramentas e descrição detalhada e
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 17 de 57
justificada de todas as adaptações efetuadas. O produto envolve também toda documentação para suporte, operação e apoio à utilização da Plataforma:a) Plano de Implantação: manual de informações contendo informações sobre a parametrização, customização, integração e provimento da Plataforma contratada.b) Manual do Usuário: documento eletrônico com detalhamento de funcionalidades, sistemática de funcionamento, orientações técnicas, regras de negócio customizadas para o CONTRATANTE e demais informações para apoiar usuários finais na utilização da Plataforma.7.3.2. Todos os documentos fornecidos pela CONTRATADA deverão ser aprovados pela equipe técnica do CONTRATANTE e deverão ser entregues no idioma português (pt-BR), com os termos técnicos em Inglês (en-US/UK).
7.4. CONFIGURAÇÃO E PARAMETRIZAÇÃO INICIAL DA PLATAFORMA
7.4.1. A parametrização e a configuração referem-se ao processo de adequação das funcionalidades do software por meio da definição dos valores de parâmetros já disponibilizados na própria Plataforma, ou seja, sem desenvolvimento de linha de código ou programa.7.4.2. As atividades a serem executadas pela CONTRATADA durante essa etapa estão relacionadas a seguir:a) Apresentar à CONTRATANTE as informações necessárias, prevendo testes e homologação antes da liberação aos Usuários.b) Realizar as parametrizações e configurações na Plataforma.c) Realizar testes internos antes de liberar acesso aos usuários
7.5. PLATAFORMA EM PRODUÇÃO
7.5.1. Trata-se da execução de produtos e serviços necessários para tornar a Plataforma contratada disponível para uso em ambiente de produção. O produto abrange os subprodutos e serviços a seguir:a) Ambiente de produção preparado: configuração do ambiente e atualização de informações para entrada da Plataforma em produção. Agrega as seguintes atividades:· Planejamento da entrada em produção.· Elaboração do plano de contingência, em conjunto com o CONTRATANTE.· Identificação e controle dos riscos.· Limpeza de dados utilizados em treinamentos.· Cadastramento de tabelas de tipos e atualização de arquivos de configuração.· Migração de informações e configuração de dados de usuários e perfis de usuário.· Conjunto de tarefas específicas da Plataforma contratada para sua entrada em produção.b) Plataforma disponibilizada em ambiente de produção para uso do CONTRATANTE.
7.6. OPERAÇÃO ASSISTIDA
7.6.1. Operação assistida durante 20 (vinte) dias úteis, compreendendo:a) monitoramento e correção de falhas: monitoramento da Plataforma em condições reais de uso com a finalidade de detectar e corrigir falhas.b) parametrizações visando ajustes de funcionalidades.c) relatórios de operação assistida: documentação de ocorrências, problemas e soluções identificadas durante o trabalho de operação assistida. Deve conter indicação de eventuais necessidades de alteração de manuais, procedimentos e roteiros da Plataforma.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 18 de 57
7.6.2. Os serviços de operação assistida terão início após a disponibilização da Plataforma em ambiente de produção.
7.7. BACKUP E RESTORE
7.7.1. A CONTRATADA deverá elaborar e apresentar ao CONTRATANTE, em até 30 (trinta) dias após a assinatura do contrato, o detalhamento das políticas, rotinas e procedimentos de backup e restore, devendo atender, no mínimo, backup diário, backup semanal, backup mensal e backup anual.7.7.2. A CONTRATADA se responsabilizará pela execução das rotinas de backup e restore, seguindo a política aprovada pelo CONTRATANTE.7.7.3. A CONTRATADA deverá adotar política de backup e restore que permita a restauração integral da infraestrutura necessária ao processamento normal dos sistemas de informação que compõem a Plataforma, bem como recursos de disaster recovery, incluindo todos os elementos de software do ambiente, tais como:7.7.3.1. Sistemas operacionais, sistemas gerenciadores de banco de dados, internet information system, sistemas de gerenciamento de correio eletrônico, domain control, file server, dlls, registry etc., com suas respectivas configurações.7.7.3.2. Sistemas de Informação, softwares e aplicações, inclusive rotinas, procedures etc., com suas respectivas configurações.7.7.3.3. Tabelas, dados, imagens, áudio, vídeo, armazenados internamente nos servidores, em unidades de armazenamento, inclusive os que são utilizados pelo servidor de arquivos, sistemas de correio eletrônico e aplicações em geral.7.7.4. O backup das bases de dados de aplicações de execução contínua deverá ser realizado sem interrupção dos serviços (backup on line).7.7.5. Os servidores para realização da atividade de backup deverão ter alta capacidade, unidades robotizadas de manipulação de fitas e programas específicos para implementação automática dos processos de backup e restore.7.7.6. Deverá ser utilizada uma rede de alta velocidade, totalmente independente da rede de dados, evitando que o tráfego de backup afete a operação normal dos sistemas.7.7.7. Antes da execução da aplicação de correções em qualquer servidor do ambiente de produção, bem como instalação de software ou mudança de hardware, deverá ser feito backup full do mesmo, que deverá ser retido por pelo menos 90 (noventa) dias. Eventual necessidade de interrupção dos serviços para realização do backup deverá ser previamente comunicada ao CONTRATANTE e será computada no tempo de duração da intervenção.
7.8. SUSTENTAÇÃO
7.8.1. Entende-se como sustentação a execução de todos os serviços necessários para operação em regime "24x7x365" (vinte e quatro horas por dia, sete dias por semana, ao longo do ano), manutenções preventivas/corretivas, atualização da aplicação e seus componentes, suporte aos produtos da Plataforma com os seus respectivos componentes e gerenciamento completo dos equipamentos, serviços e softwares relativos ao escopo contratado.7.8.2. O monitoramento da infraestrutura integrada será em regime integral, proativo, envolvendo todos os ambientes (Sistemas Operacionais, Web/App, Bancos de Dados, Rede, Armazenamento de Dados e Produtos Básicos).7.8.3. Os serviços de sustentação somente serão devidos após a conclusão da etapa do serviço de “Plataforma em produção”.7.8.4. As novas versões da Plataforma, decorrentes dos serviços de sustentação, deverão atender às mesmas exigências previstas neste Termo de Referência para a versão original.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 19 de 57
7.8.5. Quaisquer serviços ou procedimentos realizados deverão ser previamente autorizados pelo CONTRATANTE.7.8.6. Abertura de chamados de sustentação7.8.6.1. Os chamados representam a solicitação formal de serviços de sustentação à CONTRATADA e devem ser atendidos de acordo com os critérios e parâmetros estabelecidos para execução dos serviços conforme estabelecido neste Termo de Referência.7.8.6.2. Para efeitos de atendimento às dúvidas e relatos de incidentes, entende-se por usuário, as pessoas que forem indicadas pelo CONTRATANTE à CONTRATADA.7.8.6.3. O chamado deve conter a descrição sucinta do problema ou dúvida, nome e telefone do responsável pelo acompanhamento do serviço. O responsável pela abertura do chamado poderá ainda anexar ao chamado documentos ou imagens que auxiliem da identificação do problema.7.8.6.4. Os usuários deverão homologar os chamados no prazo de 24 horas úteis após a sua resolução pela CONTRATADA.7.8.7. Severidade dos chamados de sustentação7.8.7.1. Os chamados serão classificados por severidade, dependendo do problema a ser resolvido, sendo possíveis os seguintes níveis de severidade:
Severidade Descrição Início de
AtendimentoTempo
de Solução
1 Chamado para restabelecer serviço que esteja parado <= 1 hora <= 2
horas
2
Chamado para restabelecer serviço que não esteja operando corretamente, apresente problema de
desempenho ou esteja sob risco de parada.
<= 2 horas <= 4 horas
3
Chamado para esclarecimento de dúvidas, configurações do ambiente e resolução de problemas de
baixo risco.
<= 4 horas <= 8 horas
7.8.7.2. O prazo de solução dos chamados poderá ser prorrogado, a critério do CONTRATANTE, caso a CONTRATADA apresente, tempestivamente, razões de justificativa que comprovem a ocorrência de fatos que fogem ao controle da CONTRATADA e impedem a solução do chamado no tempo estabelecido.7.8.8. Avaliação dos serviços de sustentação:7.8.8.1. Os serviços serão avaliados em reuniões de fechamento mensal e, a critério do CONTRATANTE, em reuniões extraordinárias convocadas especificamente para esse fim. A avaliação levará em consideração os indicadores e metas estabelecidos e alcançados, bem como o cumprimento das demais exigências contratuais.7.8.8.2. Nas reuniões de avaliação serão discutidos aspectos relacionados à qualidade dos serviços e serão formuladas recomendações técnicas, administrativas e gerenciais para a melhoria contínua da qualidade dos serviços.
7.9. SUPORTE AO USUÁRIO
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 20 de 57
7.9.1. A CONTRATADA deverá disponibilizar serviço de Service Desk especializado, na modalidade “12x5x365" (doze horas por dia, de segunda-feira a sexta-feira, ao longo do ano, iniciando o atendimento às 8h e término às 20h, no horário oficial de Brasília.7.9.2. Este serviço se comportará como o centralizador das comunicações entre o CONTRATANTE e a CONTRATADA, cabendo ao Service Desk prestar atendimento em primeiro nível para todas as perguntas, solicitações, reclamações, gerenciamento do ciclo de vida do incidente (encaminhar as demandas e certificar-se do atendimento) e comunicação de ocorrência de qualquer evento relacionado aos serviços prestados.7.9.3. Entende-se por usuários para efeitos de abertura de chamados no Service-Desk, as pessoas que forem indicadas pelo CONTRATANTE à CONTRATADA.7.9.4. Os chamados poderão ser feitos por linhas telefônicas de tarifa compartilhada nas capitais e regiões metropolitanas (por exemplo 4001, 4002, 4004) e 0800 nas demais localidades ou e-mail ou extranet e deverão ter procedimentos de priorização para atendimento.7.9.5. Relatórios mensais de acompanhamento das solicitações deverão ser disponibilizados, com informações de status, histórico e solução apresentada.7.9.6. A CONTRATADA deverá manter um banco de dados de soluções, contendo histórico do problema ocorrido, aplicativos, hardware e software envolvidos, tentativas de soluções e a solução final.7.9.7. O prazo de solução do incidente será em horas corridas, contadas do momento da sua detecção pela CONTRATADA ou do momento da abertura do chamado, o que ocorrer primeiro, até a sua completa resolução e restabelecimento do fornecimento do serviço, conforme níveis de serviço do item 7.10.7.9.8. Todo chamado será registrado na Central de Atendimento e será classificado e encaminhado em sua solução segundo sua categoria e propósito.
7.10. NÍVEIS DE SERVIÇO7.10.1. Níveis de serviços são critérios objetivos e mensuráveis estabelecidos com a finalidade de aferir e avaliar fatores como qualidade, desempenho e disponibilidade de produtos e serviços contratados. Para mensurar esses fatores serão utilizados indicadores, para os quais foram estabelecidas metas quantificáveis a serem cumpridas pela CONTRATADA.7.10.2. As tabelas adiante apresentam os níveis de serviços estabelecidos para a execução de serviços contemplados no Fornecimento de Plataforma de Cibersegurança.7.10.3. Poderão ser aplicados descontos nos pagamentos devidos à CONTRATADA pelo descumprimento das metas estabelecidas para os indicadores de nível de serviço, sem prejuízo da eventual aplicação das penalidades descritas no contrato a ser celebrado.
IND01: tempo de início de atendimento de chamados
Objetivo: Garantir o cumprimento do tempo de início de atendimento de chamados
Periodicidade de Medição: Mensal Unidade: Horas corridas
Fórmula:(data/hora do início do atendimento do chamado) – (data/hora da abertura do
chamado)
Fonte:Relatório Mensal
Severidade Meta Descontos nos pagamentos pelo descumprimento das metas*
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 21 de 57
1 <= 1 horas
1% do valor mensal do serviço de ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
2 <= 2 horas
0,5% do valor mensal do serviço de ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
3 <= 4 horas
0,1% do valor mensal do serviço ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
*Para fins de cálculo do limite de “5% do valor mensal do serviço” serão somados os descontos de todos os níveis de severidade, ou seja, limite máximo de 15%
IND02: tempo de solução de chamados
Objetivo: Garantir o cumprimento do tempo de solução de chamadosPeriodicidade de Medição:
Mensal Unidade: Horas corridas
Fórmula:(data/hora final de atendimento do chamado) – (data/hora inicial de atendimento do
chamado)
Fonte:Relatório Mensal
Severidade Meta Descontos nos pagamentos pelo descumprimento das metas*
1 <= 2 horas
1% do valor mensal do serviço de ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
2 <= 4 horas
0,5% do valor mensal do serviço de ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
3 <= 8 horas
0,1% do valor mensal do serviço de ”Fornecimento de Plataforma de Cibersegurança”, por hora ou fração que exceda a meta estabelecida, por chamado, até o limite de 5% do valor mensal do serviço*
*Para fins de cálculo do limite de “5% do valor mensal do serviço” serão somados os descontos de todos os níveis de severidade, ou seja, limite máximo de 15%
IND03: taxa de disponibilidade da Plataforma
Objetivo: Garantir que a Plataforma esteja disponível para uso.
Periodicidade de Unidade: Percentual
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 22 de 57
Medição: MensalFórmula:
[ 1 - (Número de medições de cinco casos de uso de navegabilidade na plataforma com resposta superior a 2 segundos / Número de medições dos casos de uso) ] x 100
Observação: As medições deverão ser feitas a cada 5 minutos para cada caso de uso.
Fonte:Relatório Mensal
Meta Descontos nos pagamentos pelo descumprimento das metas
98,5%
1% do valor mensal do serviço de “Fornecimento de Plataforma de Cibersegurança” para cada 0,1% a menos de disponibilidade, até o limite de 5% do valor mensal do
serviço.
8. SERVIÇOS DE CAPACITAÇÕES8.1. Trata-se da execução de serviços para necessidades específicas de treinamento e capacitação de docentes e administradores do CONTRATANTE, nos processos de trabalho, métodos, técnicas e ferramentas integrantes da Plataforma implantada. 8.2. Capacitação presencial da equipe do CONTRATANTE responsável pela implantação da Plataforma de Cibersegurança e por ministrar os cursos.
Público Quantidade de usuários Carga horária mínima
Docentes 5 40
8.3. Capacitação presencial da equipe do CONTRATANTE responsável pela administração da Plataforma.
Público Quantidade de usuários Carga horária mínima
Usuários-chave (Administradores) 5 8
8.4. As capacitações deverão ser realizadas no idioma português (pt-BR) ou no idioma inglês (en-US/UK).8.5. O cronograma das capacitações será estabelecido no Plano do projeto de implantação da Solução.8.6. Os participantes das capacitações serão indicados pelo CONTRATANTE.8.7. Deverão ser contempladas nos serviços de Capacitações as seguintes atividades:a) Entrega do planejamento das capacitações.b) Preparação da plataforma da base de capacitações, dos cadastros e configuração de usuários para a realização da capacitação.c) Realizar as capacitações dos usuários, demonstrando as funcionalidades da Plataforma adquirida e boas práticas para elaboração dos conteúdos educacionais conforme características e especificidades da Plataforma.d) Controlar presença dos usuários.8.8. Para as capacitações, a CONTRATADA deverá elaborar materiais didáticos pertinentes, no mínimo: Manuais, apresentações em formato eletrônico. A CONTRATADA deverá ainda ceder ou autorizar o uso desses materiais didáticos elaborados ao SENAI.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 23 de 57
8.8.1. Todos os materiais didáticos elaborados, principalmente para uso na capacitação de usuários/alunos, deverão ser entregues no idioma português (pt-BR), devendo os termos técnicos de TI mantidos no idioma inglês (en-US/UK).8.9. As ações de capacitações devem garantir que os usuários tenham plena compreensão do escopo de atuação e responsabilidades de cada perfil, bem como sejam capazes de executar processos de trabalho e tarefas inerentes ao perfil em que foram treinados sem a necessidade de apoio da CONTRATADA.8.10. A abordagem deverá ser eminentemente prática, utilizando exemplos e exercícios para ilustrar os conceitos e capacitar os participantes e empregar os recursos oferecidos pela Plataforma à luz dos processos especificados.8.11. A infraestrutura das capacitações (computadores, projetores, espaço físico, rede de internet, etc.) será provida pelo CONTRATANTE.8.12. Os custos relativos aos instrutores responsáveis pela capacitação, tais como horas técnicas, passagens áreas, alimentação, hospedagem, transporte e etc., são de responsabilidade exclusiva da CONTRATADA.
9. PLANO DE PROJETO PARA IMPLANTAÇÃO DA SOLUÇÃO DE PLATAFORMA DE CIBERSEGURANÇA
9.1. O Plano de projeto para implantação da Solução de Plataforma de Cibersegurança é parte integrante da contratação e seu conteúdo contempla o escopo do objeto contratado.9.2. O Plano de projeto para implantação da Solução de Plataforma de Cibersegurança é doravante referenciado como Plano de projeto.9.3. Recomendações para a elaboração do plano de projeto:9.3.1. A CONTRATADA deverá descrever e detalhar o Plano de projeto em atividades e tarefas, observando as práticas preconizadas pelo PMI (Project Management Institute) por meio do PMBOK (Project Management Body of Knowledge) contemplando os seguintes subprodutos:a. Relatório com as especificações mínimas necessárias para que o CONTRATANTE consiga operar o negócio, principalmente no que tange a configuração mínima dos hardwares capazes de suportar a implementação da solução.b. Declaração de escopo, com a descrição dos produtos e serviços a serem executados durante a implantação da Solução, bem como da estrutura analítica do projeto EAP/WBS.c. Cronograma das atividades com a execução dos serviços, detalhando etapas, reuniões, tarefas, prazos, relações de dependências, responsáveis, participantes e marcos, incluindo os marcos de entrega, homologação de produtos, conclusão de etapas e fases.d. Plano de riscos que deverá identificar, qualificar e quantificar os riscos do projeto, com respectivas ações para evitar e mitigar a ocorrência de riscos e/ou reduzir os possíveis impactos, bem como os responsáveis pela execução destas ações.e. Plano de comunicação para orientar a comunicação entre as partes envolvidas no projeto. Deve conter, no mínimo, definição dos eventos de comunicação, conteúdo, responsáveis, pessoas envolvidas, frequência, duração, e instrumentos de comunicação e plano de escalação.f. Plano de capacitação dos usuários-chave e dos docentes, que detalha o modelo de transferência de conhecimento para a equipe do CONTRATANTE, bem como o material didático.g. Plano de qualidade para orientar a entrega dos produtos e serviços, bem como os critérios de aceitação e tratamento das não conformidades.h. Matriz de responsabilidades com a estrutura e organização dos recursos humanos envolvidos, papéis e responsabilidades, e a governança do projeto.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 24 de 57
i. Plano de entrada em produção que deverá descrever o conjunto de tarefas necessárias para instalar e testar a Plataforma, de modo que ela possa ser efetivamente transferida para o ambiente de produção. Nele devem estar contidas informações de cargas e integrações com outros sistemas, se aplicável, bem como o agendamento de tarefas e quem são os responsáveis.9.3.2. O Plano de projeto deverá ser entregue pela CONTRATADA, com sua redação integralmente em Português Brasileiro (pt-BR), no prazo máximo de 30 (trinta) dias a partir da assinatura do contrato.9.3.3. A CONTRATADA deverá promover o acompanhamento da execução física das atividades e tarefas, das entregas, a gestão da qualidade e a atualização dos riscos do Plano de projeto.9.3.4. A execução do Plano de projeto apresentado não poderá acarretar em custos adicionais para o CONTRATANTE.9.4. Os serviços deverão ser executados depois que o Plano de projeto for aprovado pelo CONTRATANTE, por meio de termo de aceite assinado por este.
10. ACOMPANHAMENTO DO CONTRATO
10.1. As comunicações e as documentações produzidas e entregues para a gestão do contrato deverão ser realizadas em Português Brasileiro (pt-BR).10.2. A CONTRATADA apresentará relatórios de execução parcial e final e as respectivas documentações técnicas para aceite pelo CONTRATANTE.10.2.1. Os relatórios e documentos serão apresentados nas reuniões mensais de status, realizadas presencialmente ou virtualmente, ao longo de toda execução do contrato.10.3. As reuniões presenciais de acompanhamento do contrato serão realizadas em Brasília/DF ou nas sedes dos Departamentos Regionais aderentes contratantes, conforme convocação, com antecedência mínima de 30 (trinta) dias, e na frequência máxima de até 2 vezes por ano, sendo as despesas de responsabilidade da CONTRATADA.10.4. Caberá ao CONTRATANTE:10.4.1. Convocar os representantes da CONTRATADA para participar de reunião presencial de alinhamento de expectativas contratuais e fornecer previamente a pauta da reunião.10.4.2. Prestar as informações e esclarecimentos pertinentes que venham a ser solicitados pela CONTRATADA.10.5. Caberá a CONTRATADA:10.5.1. Alocar profissionais necessários à realização dos serviços.10.5.2. Participar de reunião presencial de alinhamento de expectativas contratuais com equipe do CONTRATANTE.10.5.3. Formalizar nesta reunião de alinhamento a indicação do responsável técnico da empresa pela gestão do projeto e substituto eventual para a coordenação dos serviços e termos administrativos do contrato.10.5.4. Na hipótese de desvios na execução dos serviços, a CONTRATADA deverá demonstrar a causa e apresentar um plano de ação com as medidas corretivas e os impactos gerados, que deverá ser submetido à aprovação do CONTRATANTE.
11. GARANTIA DOS SERVIÇOS DA SOLUÇÃO DE PLATAFORMA DE CIBERSEGURANÇA
11.1. Os serviços executados no escopo da presente contratação terão garantia irrestrita durante a vigência integral do contrato.11.2. O CONTRATANTE poderá solicitar, dentro do período de garantia, sem qualquer ônus adicional, a correção ou nova execução de serviços, produtos ou documentos entregues que apresentem problemas ou necessidade de correções.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 25 de 57
12. DO CRONOGRAMA DE EXECUÇÃO E DO PAGAMENTO
12.1. Os marcos de entrega e prazos máximos de execução serão realizados conforme tabela a seguir:
MARCOS DE ENTREGA E CRONOGRAMA DE EXECUÇÃO
Atividades e Serviços da Solução de
Plataforma de Cibersegurança
Marcos de entrega Prazo máximo de execução
- Reunião de Alinhamento de Expectativas
Assinatura do contrato + 15 dias úteis
- Apresentação da Equipe Técnica da Empresa
Assinatura do contrato + 15 dias úteis
- Plano de projeto para implantação da Solução
Assinatura do contrato + 30 dias
Implantação da Solução
Disponibilizar layout, configuração mínima de hardware e software para
instalação dos laboratórios de TI do
SENAI
Assinatura do contrato + até 30 dias
Implantação da Solução
Documentação da Plataforma inicial
Assinatura do contrato + até 60 dias
Implantação da Solução
Configuração e Parametrização da
plataforma
Assinatura do contrato + até 60 dias
Implantação da Solução
Instalação e comissionamento dos laboratórios de TI
Assinatura do contrato + até 60 dias
Implantação da Solução
Plataforma disponibilizada com os requisitos necessários para sua entrada em
homologação
Assinatura do contrato + até 90 dias
Implantação da Solução
Plataforma disponibilizada com os requisitos necessários para sua entrada em
produção
Assinatura do contrato + até 90 dias
Implantação da Solução
Documentação da Plataforma final
Assinatura do contrato + até 90 dias
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 26 de 57
Serviços de Capacitações
Capacitação presencial de administradores
Assinatura do contrato + até 100 dias
Serviços de Capacitações
Capacitação presencial de docentes
Assinatura do contrato + até 100 dias
Implantação da Solução Operação assistida
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contrato
Implantação da Solução Backup e Restore
Assinatura do contrato + até 90 dias – início
Término – final de contrato
Implantação da Solução Sustentação
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contrato
Implantação da Solução Suporte ao usuário
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contrato
Implantação da Solução Níveis de serviço
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contratoServiços de
Implantação e operação da Plataforma.
Plataforma apta para oferta de curso a turma
de alunos
Assinatura do contrato + até 120 dias
Término – 12 meses de operação após roll out
12.2. Os pagamentos pelo fornecimento de Plataforma serão efetuados no dia 22 do mês seguinte à prestação dos serviços, mediante crédito na conta corrente bancária a ser indicada pela CONTRATADA, observando o que segue:12.2.1. O pagamento dos serviços de implantação será realizado em parcela única após o recebimento da fase de implantação pelo CONTRATANTE e início da operação da solução.12.2.1.1 O pagamento pelos serviços de implantação da Plataforma contempla todos os serviços listados no item 7 e seus subitens, não havendo pagamento por serviços isolados.12.2.2. Os pagamentos referentes a utilização da plataforma serão realizados mensalmente, considerando a quantidade de licenças contratadas no período, mediante a apresentação de relatório pela CONTRATADA e atesto pelo CONTRATANTE.12.3. Os pagamentos referentes às Capacitações serão realizados mediante a apresentação de relatório de conclusão dos serviços pela CONTRATADA e atesto pelo CONTRATANTE.12.4. A CONTRATADA deverá apresentar a nota fiscal/fatura até o dia 10 (dez) do mês do pagamento.12.4.1. No caso de empresa estrangeira, a CONTRATADA deverá apresentar invoice até o dia 10 (dez) do mês do pagamento.12.6. Para fins de monitoramento durante a execução do contrato, a CONTRATADA deverá informar ou permitir o acesso a relatórios técnicos da operação em toda e qualquer data acordada com a CONTRATANTE.
13. DESPESAS DE DESLOCAMENTOS
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 27 de 57
13.1. Somente serão de responsabilidade do CONTRATANTE as despesas de deslocamento de profissionais da Contratada, referentes ao objeto do contrato, quando em viagens para destinos fora da sede da CONTRATADA ou fora da sede do CONTRATANTE, seja o Departamento Nacional em Brasília/DF ou dos Departamentos Regionais aderentes contratantes, se houver. As referidas despesas deverão ser previamente autorizadas pelo CONTRATANTE e serão limitadas ao que se segue:a) Fornecimento das passagens aéreas em classe econômica e tarifa promocional; eb) Pagamento de ajuda de custo por dia de viagem, que terá como referência os valores e critérios aplicados aos técnicos do CONTRATANTE, para as despesas com hospedagem e alimentação.
14. EQUIPE TÉCNICA DA EMPRESA APÓS A ASSINATURA DO CONTRATO
14.1. A CONTRATADA deverá designar, no prazo máximo de 15 (quinze) dias contados da data de assinatura do contrato, equipe técnica mínima, responsável pela interlocução com o CONTRATANTE, conforme disposto a seguir:14.1.1. (um) responsável técnico pelo projeto com nível superior de instrução completo, desejável certificação PMP e experiência individual mínima de 1 (um) ano em projetos de consultoria, tendo gerenciado projetos de implantação de Plataforma.14.2. Para comprovação de experiência dos integrantes da sua equipe técnica a empresa deverá apresentar o currículo do profissional indicado, que deverá conter, no mínimo:a) Nome do profissional;b) Experiências profissionais, com: nome da empresa; datas de início e término dos trabalhos; e resumo dos serviços realizados.14.3. Formação acadêmica de cada profissional.14.4. A CONTRATADA deverá comprovar o vínculo societário, empregatício ou contratual dos profissionais que integram a Equipe Técnica por ela indicada, mediante a apresentação de um dos seguintes documentos:i. Caso o profissional seja regido pelo regime de CLT: cópia autenticada do “Contrato de Trabalho” ou da Carteira de Trabalho e Previdência Social – CTPS, que comprove o vínculo empregatício com a CONTRATADA.ii. Caso o profissional seja sócio da CONTRATADA ou de suas controladas: cópia autenticada do contrato social ou estatuto que comprove a condição de sócio;iii. Caso o profissional tenha contrato de Prestação de Serviços com a CONTRATADA: cópia autenticada do contrato, cujo prazo de vigência abranja, no mínimo, o período de prestação dos serviços ao CONTRATANTE.14.5. O CONTRATANTE poderá determinar a substituição de profissionais que não tenham desempenho condizente com o esperado ou que venham a apresentar comportamento inadequado. Esse procedimento será efetuado por meio de comunicação por escrito à CONTRATADA, que deverá providenciar a substituição do profissional em um prazo máximo de 30 (trinta) dias úteis, a contar do recebimento da notificação por profissional com igual, ou melhor, formação e experiência em relação aos inicialmente designados.
15. GESTÃO DO CONTRATO
15.1. A gestão do contrato, por parte do CONTRATANTE, será realizada pelo SENAI, Unidade de Educação Profissional e Tecnológica - UNIEP, responsável pelo monitoramento dos aspectos relativos ao negócio, aos requisitos técnicos, bem como pelo monitoramento do Acordo de Nível de Serviço.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 28 de 57
16. ENCERRAMENTO E FINALIZAÇÃO DO CONTRATO
16.1. No encerramento, finalização do contrato, ou no caso de fatos que venham a descontinuar os serviços contratados, a CONTRATADA deverá disponibilizar todas as informações de acesso à Plataforma para conexão e transferência dos conteúdos educacionais e demais dados de propriedade do CONTRATANTE viabilizando a migração dos serviços para o novo ambiente. Caso não seja possível esse acesso direto, a CONTRATADA deverá disponibilizar os conteúdos educacionais e demais dados de propriedade do CONTRATANTE em seus formatos originais e nos formatos XML e Oracle ou Microsoft SQL, versões atuais, incluindo a estrutura de dados e dicionário de dados.16.2. A Plataforma deverá ser mantida ativa até o final da migração de todos os dados e conteúdos educacionais hospedados na mesma.16.3. Toda a base de dados de soluções do Service Desk, contendo todos os históricos e procedimentos deverão ser disponibilizados pela CONTRATADA em formato padrão e com a sua estrutura e dicionário de dados para Oracle ou Microsoft SQL, versões atuais.16.4. Toda a documentação atualizada dos serviços deverá ser disponibilizada em formato digital com possibilidade de pesquisa.
17. OBRIGAÇÕES DA EMPRESA CONTRATADA
17.1. Cumprir o objeto contratado nos termos e condições constantes do Contrato, do Edital e seus Anexos, bem como da respectiva proposta de preços da CONTRATADA, cabendo-lhe ainda a coordenação dos serviços, responsabilizando-se, legal, administrativa e tecnicamente pelos mesmos.17.2. Cumprir os prazos de entrega dos serviços definidos no contrato e no Plano de projeto de implantação da Solução, incluindo participar das reuniões presenciais com o gestor do contrato na sede do CONTRATANTE, seja no Departamento Nacional em Brasília/DF ou nos Departamentos Regionais aderentes contratantes, se houver.17.3. Emitir os termos de aceite de cada serviço realizado de forma a obter a validação pelo gestor do contrato.17.4. Cientificar, imediatamente e por escrito, o CONTRATANTE, qualquer anormalidade que verificar durante a execução dos serviços. 17.5. Prestar esclarecimentos, imediatamente e por escrito, o CONTRATANTE, sempre que por esta solicitada.
18. OBRIGAÇÕES DO CONTRATANTE
18.1. Efetuar os pagamentos devidos à CONTRATADA de acordo com o estabelecido no contrato.18.2. Fornecer e colocar à disposição da CONTRATADA todos os elementos, documentações e informações que se fizerem necessários à execução dos serviços.18.3. Validar os serviços prestados pela empresa contratada.18.4. Informar a CONTRATADA, por escrito, as razões que motivaram eventual rejeição dos serviços contratados.18.5. Notificar, formal e tempestivamente a CONTRATADA sobre as irregularidades observadas no cumprimento do contrato.18.6. Disponibilizar equipe técnica para participar dos serviços, conforme “Plano de projeto de implantação da Solução” acordado com a empresa contratada.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 29 de 57
18.7. Disponibilizar infraestrutura para reuniões virtuais e reuniões presenciais, conforme “Plano de projeto de implantação da Solução” acordado com a empresa contratada.
19. FONTE DE RECURSOS
19.1. As despesas decorrentes da contratação do presente objeto correrão por conta das verbas orçamentárias identificadas a seguir:a) Unidade: 03.03.02.04 - Gerência de Tecnologias Educacionaisb) Centro de Responsabilidade: 19.3.03.10.01.01.18 - Programa SENAI de Tecnologias Educacionais.
20. PRAZO DE VIGÊNCIA
20.1. O prazo de vigência do contrato será de 18 (dezoito) meses, contados da data da sua assinatura.
21. PROPOSTA DE PREÇOS
21.1. A proposta de preços deve ser apresentada pelas empresas interessadas com o valor para realização dos serviços e atividades descritos neste Termo de Referência, conforme tabela de precificação a seguir:
TABELA DE PRECIFICAÇÃO A SER APRESENTADA PELAS EMPRESAS LICITANTES
Atividade ou serviço a ser precificado
Quantidades
Estimadas (I)
Valor unitário(R$) (II)
Valor total estimado
(R$)(I) X (II)
Serviços de Implantação e operação da Plataforma, contemplando todos os serviços previstos no item 7 e seus subitens do Termo de Referência da Contratação.
5 localidadesR$
__________Por localidade
(A)R$ ________x 5 =
R$ _________
Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service) por meio do Fornecimento de até 20 licenças de uso simultâneas, durante 1 ano o período de 12
20 licenças SaaS com cenários
R$
__________Por 1 licença SaaS/mês
(B)
R$ ________x 20 x 12 =
R$ _________
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 30 de 57
meses, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença
Capacitação presencial de
administradores, com carga horária mínima
de 8 horas
1 turmaR$
__________Por 1 turma
(C)R$ ________
Capacitação presencial de
docentes, com carga horária mínima de 40
horas
1 turmaR$
__________Por 1 turma
(D)R$ ________
Valor total estimado da proposta apresentada pela empresa(A+B+C+D)
R$ __________
21.2. Nos preços apresentados devem estar inclusos todos os custos decorrentes do fornecimento e serviços, objeto deste TR, bem como todos os tributos e encargos trabalhistas, previdenciários, comerciais, além de seguros, fretes, deslocamentos de pessoal para Brasília/DF e/ou sedes dos Departamentos Regionais aderentes, se houverem, e quaisquer outros custos que incidam direta ou indiretamente na execução do objeto.21.2.1. Os preços praticados não sofrerão alteração durante a vigência dos possíveis contratos a serem celebrados no âmbito do registro de preço .
22. SIGILO E DIREITO AUTORAL
22.1. CONTRATADA compromete-se a:22.1.1. Não utilizar as marcas do CONTRATANTE ou qualquer material desenvolvido para seus produtos e programas, assim como os dados do CONTRATANTE e dos usuários da Plataforma a que tenha acesso no decorrer das atividades inerentes a este contrato, em ações desenvolvidas pela CONTRATADA fora do âmbito de atuação desse contrato.22.1.2. Tratar todas as informações a que tenha acesso em função do presente contrato em caráter de estrita confidencialidade, agindo com diligência para evitar sua divulgação verbal ou escrita, ou permitir o acesso, seja por ação ou omissão, a qualquer terceiro.22.1.3. Só divulgar informações acerca da prestação dos serviços objeto deste contrato que envolva o nome do CONTRATANTE mediante sua prévia e expressa autorização.22.1.4. Manter, por si, por seus prepostos e contratados, irrestrito e total sigilo sobre quaisquer dados que lhe sejam fornecidos em decorrência deste contrato, sobretudo quanto à estratégia de atuação do CONTRATANTE e os dados dos usuários da Plataforma.24.2. A CONTRATADA se obriga a não quebrar a confiança que lhe é depositada em razão de celebração deste Contrato, guardando, durante sua vigência e mesmo após a sua expiração, total sigilo de todas as informações que obtiver em razão do contrato e da prestação do serviço, que serão consideradas “informações confidenciais”, e somente poderão ser reveladas a terceiros, mesmo que sejam empregados do CONTRATANTE,
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 31 de 57
se houver prévia e expressa autorização, por escrito, do representante indicado para a gestão do contrato.22.3. A CONTRATADA se compromete a adotar as medidas necessárias para que seus diretores, empregados, e em geral todas aquelas pessoas sob sua responsabilidade, que precisem conhecer a “informação confidencial”, mantenham o sigilo acordado neste instrumento, sendo responsável pela eventual ruptura do compromisso de confidencialidade por essas pessoas.22.4. Não serão consideradas “informações Confidenciais” as informações que:a) sejam ou venham a ser identificadas como de domínio público;b) encontravam-se na posse legítima da CONTRATADA, livres de quaisquer obrigações de confidencialidade, antes de sua revelação em razão deste Contrato;c) sejam expressamente identificadas pelo CONTRATANTE como “não confidenciais”;d) devam ser divulgadas por força de decisão em processo judicial, neste caso, sendo a divulgação a mais restrita possível, o que deverá ser imediatamente comunicado à CONTRATANTE.22.5. Quando solicitado pelo CONTRATANTE, a CONTRATADA está obrigada a devolver de imediato ao CONTRATANTE todas as informações recebidas em decorrência do presente Contrato e da prestação do serviço.22.6. O descumprimento da confidencialidade obrigará a CONTRATADA à reparação de eventuais perdas e danos, inclusive os valores que o CONTRATANTE venha eventualmente a despender para indenização de terceiros, sem prejuízo das demais consequências legais e contratuais.22.7. O não exercício pelo CONTRATANTE de qualquer direito previsto nesta Cláusula de Confidencialidade, ou a não aplicação de qualquer medida, penalidade ou sanção possível não importará em renúncia ou novação, não devendo, portanto, ser interpretada como desistência de sua aplicação em caso de reincidência.22.8. Todos os direitos autorais e conexos, paternidade, intelectualidade, patrimonialidade e titularidade sobre os materiais desenvolvidos no âmbito desta contratação pertencerão, exclusivamente, ao CONTRATANTE.22.9. O CONTRATANTE, a qualquer tempo e sem qualquer restrição, poderá modificar o conteúdo descrito no item anterior, promover futuras atualizações, modificações ou derivações tecnológicas, ainda que associadas a outros produtos, ceder, emprestar, alienar, enfim, usar, fruir e dispor dos produtos sem que a licitante faça jus a qualquer outra contrapartida, além dos pagamentos previstos neste termo, o que se estende aos produtos que vierem a ser desenvolvidos a partir dos obtidos nesta licitação.22.10. É da exclusiva responsabilidade da CONTRATADA a obtenção da competente cessão de direitos de autor e conexos, em favor do CONTRATANTE, junto às pessoas envolvidas na elaboração dos projetos desenvolvidos, sob pena de vir a responder pela integralidade dos prejuízos que o não cumprimento desta sua obrigação vier a ocasionar à CONTRATANTE.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 32 de 57
ANEXO I-A REQUISITOS TECNICOS PARA PLATAFORMA DE SIMULAÇÃO HIPER-REALISTISTICA DE ATAQUES DE SEGURANÇA CIBERNÉTICA
1. Requisitos de Alto Nível1.1. A solução deverá fornecer uma plataforma hiper-realista de treinamento e simulação de segurança cibernética com um Sistema de Gerenciamento de Aprendizagem (Learning Managment System – LMS).1.2. O sistema deverá simular infraestrutura de redes, tráfego de rede e cenários de ataque em redes, visando treinar e avaliar estudantes, profissionais de segurança, procedimentos e tecnologias em um ambiente seguro e controlável.1.3. O sistema fornecerá uma rede virtual que emula uma rede corporativa com funcionalidades diversificadas e de forma flexível a mudanças e novas adaptações.1.4. O ambiente de treinamento do sistema deverá incluir cenários de ataque previamente desenvolvidos e prontos para uso.1.5. O sistema fornecerá um catálogo de cenários de ataques de segurança cibernéticos que, através de scripts, possam ser pré-configurados, automatizados e repetitivos.1.6. O ambiente de treinamento do sistema de simulação deve permitir ser facilmente resetado para um estado inicial padrão antes de uma nova sessão de treinamento.1.7. O sistema deverá fornecer virtualização e emulação de dispositivos e protocolos de rede, incluindo: componentes de segurança, equipamentos de rede, servidores e aplicações de rede, dispositivos finais de usuário de rede.1.8. O sistema deverá incluir um catálogo de cenários de ataques de segurança cibernética com perfil defensivo em ambiente de Tecnologia da Informação pré-configurados e prontos para uso. Uma parte dos cenários deve ser para aplicação à indivíduos em pequenas redes e outra parte dos cenários deve ser para aplicação à treinamento de equipes em uma rede completa.1.9. O sistema deverá incluir um catálogo de cenários de ataques de segurança cibernética prontos para uso1.10. O sistema deverá fornecer um segmento de rede que permita a simulação ataques de segurança cibernética e infraestruturas críticas. Este segmento de rede deverá incluir dispositivos, incluindo Controladores Lógicos Programáveis (Programmable Logic Controllers – PLC) e dispositivos de Interface Homem-Máquina (Human-Machine Interfaces - HMI).1.11. O sistema deverá incluir um catálogo de cenários de ataques de segurança cibernética pré-configurados e prontos para uso.1.12. O sistema deverá suportar o treinamento simultâneo de turmas independentes, sobre uma única arquitetura e gerenciadas por um único instrutor.1.13. O sistema deverá fornecer a opção de treinamento remoto fazendo uso de conexões de Rede Privativas Virtuais (Virtual Private Networks – VPN).1.14. O sistema deverá fornecer uma ferramenta que permita a personalização simplificada de cenários de ataques existentes.1.15. O sistema deverá permitir que os alunos possam realizar o processo de auto avaliação através de um mecanismo automático de pontuação sobre o reconhecimento das atividades realizadas nos cenários de simulação, visando informar automaticamente as conquistas alcançadas por cada um dos participantes do treinamento.1.16. O sistema deverá permitir a importação da lista de alunos de um Sistema de Gerenciamento de Aprendizagem (Learning Managment System – LMS) externo.
2. Rede Virtual
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 33 de 57
2.1. O sistema deverá incluir vários segmentos de sub-redes IP, VLANs e DMZ - para representar realisticamente uma rede corporativa operacional.2.2. O sistema deverá incluir um gerador de tráfego para simular o tráfego usual de uma rede corporativa operacional, para maximizar a eficácia das sessões de treinamento. O gerador de tráfego precisa simular o tráfego de aplicações de rede, incluindo, no mínimo, os protocolos IP, HTTP, SMTP, POP, FTP e ICMP.2.3. O sistema precisa permitir a configuração da origem e o destino do tráfego gerado pelo gerador de tráfego de rede.2.4. O sistema precisa permitir a configuração do protocolo e do tipo de tráfego gerado pelo gerador de tráfego de redes.2.5. O sistema precisa permitir a configuração da duração do tráfego gerado pelo gerador de tráfego de redes.2.6. O sistema precisa permitir a configuração da quantidade de tráfego de rede gerada pelo gerador de tráfego de redes, permitindo a criação de grupos de fluxos de tráfego.2.7. O sistema incluirá um gerador de ataque que simulará cenários de ataques de segurança cibernéticos.2.8. O gerador de ataque deverá simular cenários de ataque que possa injetar código de software malicioso (malwares) na rede simulada, originada em vários segmentos de rede, de acordo com a configuração do cenário de ataque. Origens de ataque podem ser: Externo (simulando uma ameaça externa) ou Interno (simulando erros de configuração do usuário, erros do usuário ou invasores maliciosos).2.9. A rede simulada deverá incluir um dispositivo de segurança do tipo “firewall de perímetro” e um outro “firewall interno”, que seja totalmente operacional e licenciado e que não seja de código aberto "open source".2.10. O sistema deverá incluir um servidor de monitoramento e análise de servidores centrados em aplicações que permita monitorar o status dos serviços de todos os servidores num único conjunto de servidores através de uma interface de usuário inteligente e personalizada que possa fornecer identificação e resolução automatizadas de causas raiz de problemas.2.11. A rede simulada deverá incluir um produto do tipo Gerenciador de Eventos e Informações de Segurança (SIEM – Security Information and Event Management) comercialmente licenciado visando simular um ambiente real de um Centro de Operações de Segurança (Security Operations Center – SOC). Este SIEM deve ser um produto comercial e não deve ser de código aberto.2.12. O SIEM deverá ser pré-configurado visando incluir conjuntos de regras que suportarão os cenários de ataque para que os alertas do SIEM sejam acionados de acordo com o cenário do treinamento a ser executado.2.13. O sistema deverá incluir um servidor controlador de domínio em conformidade com o padrão X.500.2.14. A rede simulada deverá incluir um servidor de retransmissão de email (SMTP Mail Relay Server).2.15. A rede simulada deverá incluir um servidor de atribuição dinâmica de endereçamento IP (Dynamic Host Configuration Protocol – DHCP).2.16. A rede simulada deverá incluir um segmento da topologia da rede dedicado à hospedagem, no mínimo, dos seguintes Servidores: banco de dados SQL, Controlador de Domínio, DHCP, e-Mail e Arquivos.2.17. A rede simulada deverá incluir um segmento da topologia da rede dedicado a usuário com estações de trabalho que executem o sistema operacional Ubuntu e o sistema operacional Windows.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 34 de 57
2.18. A rede simulada deverá incluir um segmento da topologia da rede dedicado à publicação de serviços Web, incluindo um servidor de aplicativos FTP, um servidor Web de código aberto e um servidor Web proprietário.2.19. A rede simulada deverá incluir um segmento da topologia da rede dedicado ao acesso remoto por VPN. As estações de treinamento se conectarão à rede do treinamento por meio do servidor VPN que reside neste segmento.2.20. A rede simulada deverá prestar suporte ao treinamento remoto por meio do uso de um aplicativo baseado em navegador WEB, sem ter que ser necessário a instalação de um software cliente na estação de treinamento.2.21. A rede simulada deverá incluir um segmento da topologia da rede dedicado à publicação de serviços de um Provedor de Serviço da Internet (Internet Service Provider – ISP) visando simular uma rede da Internet, o qual deverá incluir um servidor de resolução de nomes (Domain Naming Services - DNS), um servidor Web proprietário e um servidor de email WebMail de código aberto.2.22. A rede simulada deverá incluir um segmento da topologia da rede dedicado a um ambiente industrial de aplicações críticas. Deverá ainda incluir o hardware para simular processos de Tecnologia Operacional (Operational Technology – OT), os quais serão simulados em cenários de treinamento de segurança cibernética sobre OT.2.23. A rede simulada deverá incluir segmentação da rede por VLAN e IP dos seus vários segmentos de rede (Usuários, Servidores, SIEM, ISP, VPN) para manter uma estrutura de rede que se assemelhe a uma rede corporativa real.2.24. A rede simulada deverá permitir que o segmento de rede industrial possa ser representado de forma gráfica visual por uma interface gráfica do usuário (Graphical User Interface – GUI) de um processo industrial.2.25. O segmento da rede industrial deve suportar um firewall com sistema de detecção de intrusão industrial (Intrusion Detection System –IDS), incluindo uma GUI para o fornecimento de um painel de alerta.2.26. A rede simulada deverá incluir um IDS comercial para permitir que os alunos pratiquem o monitoramento do segmento. O IDS precisa ser integrado ao SIEM da rede e enviar alertas como parte dos cenários gerais. O IDS deverá ser um produto comercial licenciado.2.27. A rede deve incluir sensores que detectam a atividade do aluno e adicionem feedback ao aplicativo do instrutor.
3. Interface de Gerenciamento do Instrutor
3.1. O sistema fornecerá um console de gerenciamento ao Instrutor visando rastrear e manter um formulário de desempenho de cada aluno. Cada aluno será identificado, no mínimo, por um código identificador, fotografia e função. E este console deve permitir ainda a adição de campos adicionais de identificação dos alunos, se necessário.3.2. O console de Gerenciamento do Instrutor fornecerá uma Interface Gráfica (GUI) intuitiva, permitindo que os instrutores configurem e executem sessões de treinamento.3.3. O Console de Gerenciamento do Instrutor deverá fornecer de forma simples a configuração de uma sessão de treinamento, incluindo a seleção dos alunos, seleção da rede e a seleção do cenário de ataque.3.4. O Console de Gerenciamento do Instrutor deverá fornecer a opção de gravar e permitir a reprodução das atividades realizadas pelas telas das estações de trabalho dos alunos durante uma sessão de treinamento.3.5. O Console de Gerenciamento do Instrutor deverá fornecer uma função de envio de mensagem, permitindo que o Instrutor e os Alunos troquem mensagens durante uma sessão de treinamento.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 35 de 57
3.6. O recurso de envio de mensagens do Console de Gerenciamento do Instrutor deverá manter registro das conversas entre Instrutor e Alunos e tais conversar poderão ser reproduzidas após a sessão para fins de revisão, esclarecimento e feedback.3.7. O Console de Gerenciamento do Instrutor deverá fornecer a opção de registrar em banco de dados as sessões de treinamento e procurar sessões anteriores.3.8. O Console de Gerenciamento do Instrutor deverá permitir que o Instrutor possa iniciar os cenários de ataques a qualquer instante durante uma sessão de treinamento.3.9. O Console de Gerenciamento de Instrutor deverá permitir o rastreamento e classificação do desempenho do Aluno.3.10. O Console de Gerenciamento de Instrutor deverá fornecer a opção de executar, controlar e monitorar o fluxo em tempo real de uma sessão de treinamento.3.11. O Console de Gerenciamento de Instrutor deverá fornecer um módulo de avaliação - por Aluno individual e por equipe. A avaliação apoiará um mecanismo de bonificação dos Alunos.3.12. O Console de Gerenciamento de Instrutor deverá fornecer a opção de armazenar e executar as lições anteriores de uma sessão de treinamento.3.13. O Console de Gerenciamento de Instrutor deverá fornecer a opção de replicar uma lição anterior de uma sessão de treinamento, incluindo suas configurações e de reutilizá-las como uma nova sessão de treinamento.3.14. O Console de Gerenciamento de Instrutor deverá fornecer uma visão do histórico das sessões de treinamento já realizadas.3.15. O Console de Gerenciamento de Instrutor deverá exibir o detalhamento das metas e o fluxo de trabalho planejados para cada cenário das sessões de treinamento a serem executada.3.16. O Console de Gerenciamento de Instrutor deverá fornecer a opção de editar as metas e o fluxo de trabalho dos cenários existentes.3.17. Para alguns dos cenários, o Console de Gerenciamento de Instrutor deverá fornecer a opção de alterar o nível de dificuldade do cenário e simular invasores mais sofisticados, modificando parâmetros como a alteração da duração do ataque, a exclusão de logs durante o ataque e a execução de um ataque silencioso.3.18. O Console de Gerenciamento de Instrutor deverá fornecer uma visualização das informações da topologia da rede de treinamento em um formato diferentes formatos, como, no mínimo: JPEG, CSV, entre outros.3.19. O Console de Gerenciamento de Instrutor exibirá uma linha do tempo da sessão de treinamento, exibindo os marcos dos seguintes eventos: trafego de rede, progresso do ataque, resultados alcançados pelos alunos, anotações e mensagens.3.20. A linha do tempo do Console de Gerenciamento de Instrutor também monitorará e exibirá os eventos do SIEM.3.21. O cronograma do Console de Gerenciamento de Instrutor deverá fornecer um resumo de todos os eventos de treinamento na linha do tempo.3.22. O Console de Gerenciamento de Instrutor permitirá que o Instrutor adicione comentários de texto que aparecerão na linha do tempo.3.23. O Console de Gerenciamento de Instrutor permitirá a reprodução de uma sessão gravada, incluindo a reprodução de vídeo das telas do Aluno, bem como da linha do tempo, incluindo os eventos da sessão, os marcos alcançados e os comentários. O console permitirá pular para esses eventos para uma reprodução mais rápida e objetiva daquilo que se pretende revisar.3.24. O Console de Gerenciamento de Instrutor deverá fornecer a opção de ampliar a tela do Aluno durante uma sessão em curso ou durante a reprodução de uma sessão de treinamento, além de permitir a ampliação para o tamanho de tela inteira, para melhorar a qualidade do acompanhamento e esclarecimento do que estiver sendo monitorado.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 36 de 57
3.25. O Console de Gerenciamento de Instrutor deverá fornecer uma opção para visualizar o progresso da linha do tempo como absoluto ou relativo durante uma sessão de treinamento.3.26. O Console de Gerenciamento de Instrutor permitirá que o Instrutor avance para momentos de interesse na linha do tempo durante a reprodução, incluindo marcos de ataque, conquistas de trainees e mensagens enviadas.3.27. O Console de Gerenciamento de Instrutor deverá fornecer uma interface de avaliação para classificar os alunos e adicionar comentários.3.28. O Console de Gerenciamento de Instrutor deverá registrar em vídeo as atividades que estiverem sendo realizadas nas telas das Estações de trabalho dos Alunos. O instrutor poderá visualizar todas as telas dos Alunos simultaneamente e ampliar a tela de um aluno em específico para tela cheia.3.29. A aplicação do Instrutor deve fornecer uma indicação se uma meta foi automaticamente detectada pelos alunos. O Instrutor pode ainda editar e reescrever o feedback do sistema sobre essas metas.3.30. A aplicação do Instrutor deve permitir que o Instrutor decida quando publicar um Questionário de Conhecimento (Quiz) aos Alunos, a qualquer momento durante uma sessão de treinamento, fazendo com que os alunos possam receber uma indicação de que neste momento o Quiz já está disponível para eles.3.31. A aplicação do Instrutor deve permitir que sejam adicionadas perguntas ao Questionário de Conhecimento (Quiz).3.32. O Instrutor deverá ter o controle de todas as ações e do que esta sendo realizadas por todos os alunos a partir de uma única console de gerenciamento.3.33. O Instrutor deverá poder criar várias sessões de treinamento individuais simultaneamente, cada uma com uma topologia de rede e cenários de ataques individuais.
4. Interface do Aluno
4.1. Os Alunos deverão conseguir treinar e praticar suas atividades sobre as ferramentas de segurança comerciais, ferramentas de investigação e monitoramento, incluindo: SIEM, Firewall, registros de eventos de Estações e Servidores, Servidores de Monitoração, Emuladores de Terminal e Analisadores de Protocolos (Sniffers) para investigação.4.2. Embora a tela dos Alunos se assemelhem a uma estação de trabalho SOC da vida real, ela deverá incluir, para fins educacionais, uma Interface de Usuário de sobreposição mostrando informações de rede, plano de endereços IPs das Estações e Servidores e credenciais de acesso que permitam-no acessar e diagnosticar os equipamentos ativos de rede.4.3. A tela do Aluno deverá exibir o progresso do tempo e sua pontuação na sessão de treinamento em execução de forma sobreposta, sem interferir na real Interface de Usuário do produto de segurança que estiver sendo acessada.4.4. A interface do Aluno deverá fornecer acesso à tela da maquina virtual de todas as Estações e Servidores da rede.4.5. A interface do Aluno deverá fornecer uma conexão à área de trabalho remota de todas as máquinas com sistema operacional proprietário da rede.4.6. A aplicação dos Alunos deverá incluir uma ferramenta de investigação interativa, onde eles poderão adicionar seus insights e evidências sobre o cenário de ataque que estão investigando.4.7. A ferramenta de investigação na aplicação dos Alunos deverá fornecer uma indicação se as evidências que foram adicionadas pelo aluno durante a sessão do treinamento estão corretas ou não, para que o aluno possa usá-lo para aprender, consertá-lo e obter feedback em tempo real, visando ser útil para autoaprendizagem e compreensão profunda.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 37 de 57
4.8. A aplicação dos Alunos deverá permitir a realização de um Quiz, objetivando testar e verificar a compreensão do aluno sobre as atividades realizadas do cenário, de forma que as respostas corretas devem afetar a pontuação total do treinamento.4.9. O Quiz geral deverá poder ser personalizado, para que novas perguntas possam ser adicionadas e as perguntas existentes possam ser removidas ou alteradas.
5. Cenários de Ataques de Segurança Cibernética
5.1. O sistema deverá incluir um gerador de ataque que simulará cenários de ataque pré-configurados. O sistema não exigirá recursos humanos ou equipes de profissionais em especializados em segurança cibernética para operar e executar os ataques, garantindo que os ataques sejam consistentes e repetíveis, minimizando, assim, a necessidade de recursos adicionais.5.2. O sistema deverá fornecer um catálogo de ataques de segurança cibernética defensivos sobre o ambiente de Tecnologia da Informação.5.3. O sistema deverá suportar vários níveis de dificuldade e complexidade dos cenários de ataques de segurança cibernética.5.4. Os cenários simulados de ataque cibernético incluirão um amplo conjunto de vetores de ataque, incluindo, no mínimo: Web, E-mail, Dispositivos Móveis de Armazenamento infectados (CDs, Flash Pendrives), FTP e VPN.5.5. O sistema deverá simular vários cenários de ataques cibernéticos de exploração, como, no mínimo: roubo de dados, rastreamento da Web, injeção de SQL, varredura de portas, varredura de PING, força bruta de senha, backdoorscripting, falsificação de sites, spear phishing, fuzzing de protocolo SSH e DNS poisoning.5.6. O sistema deverá fornecer cenários de ataques cibernéticos com alto impacto tangível na rede, incluindo, no mínimo: Negação de serviço (DoS), roubo de informações e desfiguração de Websites.5.7. O sistema deverá fornecer cenários de ataque cibernético utilizando registro de eventos (Logs) de: sistemas operacionais abertos e proprietários, SIEM, Firewall, Servidores de Monitoração, Retransmissão de email, engenharia reversa, banco de dados SQL, IDS e análise forense de rede e de servidores Web.5.8. O sistema deverá fornecer um módulo de ataques de segurança cibernética, incluindo, no mínimo: a definição de alertas em ferramentas de segurança como silenciosos ou ativos. Isso será necessário visando modificar o nível de dificuldade dos processos diagnósticos.5.9. O sistema deverá fornecer no módulo para personalização de ataques, no mínimo, as seguintes atividades: i) um controle a velocidade de execução do cenário (lenta, média, rápida); ii) excluir Logs criados durante um ataque, visando impactar a dificuldade dos processos diagnósticos; iii) alterar o endereço IP do invasor durante as ações de ataque; iv) adicionar scripts.5.10. O sistema deverá incluir um cenário de ataque cibernético sobre o ambiente industrial usando a vulnerabilidade de conexão de site-à-site.5.11. O sistema deverá fornecer um catálogo de ataques de segurança cibernética sobre o ambiente de rede.5.12. O sistema deverá fornecer cenários de ataque cibernéticos mostrando o impacto na rede como adulteração e interrupção do processo SCADA e tempo de inatividade.5.13. O sistema deverá fornecer um cenário de ataque cibernético em ambiente industrial no qual o vetor de ataque deva ser iniciado na rede de TI e atravessa para a rede OT, simulando a evolução de um ataque OT típico.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 38 de 57
5.14. O sistema deverá fornecer conteúdo individual, incluindo cenários e redes, com foco em disciplinas específicas, tais como, no mínimo, análise de Malware, resposta a incidentes avançada, entre outros.5.15. Os cenários devem incluir uma rede que possibilitem a atividade de Captura de “Bandeira” (Capture the Flag) que os Alunos devem realizar durante o treinamento. Para tanto, os Alunos podem usar o sistema operacional aberto especializado neste tipo de atividade, como o Kali Linux, para execução deste tipo de ataque.
6. Entregáveis6.1. O sistema será fornecido com todos os componentes de hardware, incluindo: storages, servidores, switches Ethernet, UPS, cabos Ethernet, cabos de alimentação, gabinete incluindo CLPs, fonte de alimentação, pontos de E/S e painéis de exibição, rack de servidores.6.2. O sistema será fornecido com todos os componentes de software, incluindo sistemas operacionais abertos e proprietários; Suíte de aplicativos de produtividade de escritório (processador de texto, planilha eletrônica, banco de dados, exibião de apresentações, entre outros); Servidor de Monitoração; Plataforma integrada e centralmente gerenciada de proteção de endpoints; SIEM; Firewall; Servidor de Virtualização.6.3. O sistema deverá ser fornecido com, no mínimo, a entrega dos seguintes serviços: i) suporte no local para instalação e configuração do sistema; ii) Treinamento local para capacitar os Instrutores; iii) suporte remoto para manutenção, identificação e solução de problemas; iv) Garantia de Hardware; v) Garantia de Software;6.4. O sistema deverá ser provido de documentação com seu guia de administração geral.6.5. O sistema deverá ser provido de documentação para uso dos Instrutores contendo guia com todos os cenários e suas respectivas instruções específicas sobre os objetivos, como estão estruturados e como resolver cada cenário, além do guia incluindo visão geral da rede, nomes de usuários e senhas.6.6. O sistema deverá fornecer apresentações aos Instrutores, que constem a documentação dos cenários, para fins de momentos, tanto inicial de instrução, quanto finais de feedback.
7. A arquitetura do sistema incluirá os seguintes elementos:
7.1. Servidor físico para executar os componentes de software e virtualização da solução.7.2. Estações de trabalho física para os Instrutores.7.3. Estações de trabalho física para os Alunos.7.4. Rede local física Ethernet (IEEE 802.3) para interconexão dos Servidores e Estações de trabalho (Alunos e Instrutores).7.5. As estações de trabalho dos Alunos serão agrupadas em grupos de 20 maquinas por cada turma.7.6. A arquitetura deverá permitir a conexão opcional da Estação de Trabalho de Aluno via conexão VPN a partir de uma rede externa.7.7. A arquitetura deverá incluir um segmento industrial com PLCs e IHMs.
8. Experiência do Provedor da Solução
8.1. O provedor deve ter uma base de instalação de pelo menos 20 Centros de Treinamento Cibernético utilizando o sistema oferecido.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 39 de 57
8.2. O provedor deve ter sistemas de treinamento operacional por pelo menos 5 anos8.3. O provedor deve ter sistemas de treinamento operacional em execução em organizações militares ou governamentais8.4. O provedor deve ter sistemas de treinamento operacional em execução.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 40 de 57
ANEXO I-B – CLÁUSULAS DE SEGURANÇA DA INFORMAÇÃO
5. CLAUSULAS DE SEGURANÇA DE INFORMAÇÕES
5.1. Cada PARTE será única responsável pela seleção, implementação, e manutenção de procedimentos e políticas de segurança que sejam suficientes para garantir que: (i) o uso da conexão de rede por tal parte (e o uso do patrimônio de informações da CONTRATANTE, pela CONTRATADA) seja seguro e utilizado somente para fins autorizados, e (ii) os registros e dados de negócios de tal parte estejam protegidos contra acesso ou uso indevidos, alteração, perda, ou destruição.5.2. Qualquer terceira parte que conecte um dispositivo a uma rede da CONTRATANTE deverá ser autorizada pelo Encarregado de Segurança de TI local. O Fornecedor deverá prover proteção contra o uso externo não autorizado, modificação, divulgação ou destruição, acidental ou intencional, do patrimônio da CONTRATANTE. A terceira parte será responsável pela segurança do dispositivo, através de antivírus e patches, para proteger o patrimônio de informações da CONTRATANTE. Qualquer dispositivo pertencente a uma terceira parte, e que armazene ativos de informações da CONTRATANTE, deverá ser criptografado.5.3. Somente usuários autorizados pela CONTRATANTE poderão acessar as informações e dados contidos na infraestrutura da CONTRATANTE ou na infraestrutura de terceiros contratados ou utilizados pela CONTRATANTE. A CONTRATANTE deverá deter o poder de decisão final, a respeito de quem estará autorizado a acessar os dados e informações, incluindo o próprio pessoal da CONTRATANTE, o pessoal da CONTRATADA, todo o pessoal subcontratado, e qualquer outra terceira parte. Todos os acessos deverão atender às Normas e políticas de tecnologia da informação da CONTRATANTE.5.4. Serão concedidas somente autorizações de acessos individuais (login e senha). Contas genéricas ou compartilhadas são absolutamente proibidas.5.5. Dados ou informações sobre a CONTRATANTE, ou contidos na infraestrutura da CONTRATANTE, quer possuídos, ou cedidos, ou hospedados nas instalações de uma terceira parte, ou na infraestrutura de um Fornecedor de Serviços de Aplicativos, não deverão ser divulgadas a quaisquer terceiras partes, sem a prévia aprovação por escrito da CONTRATANTE.5.6. Obedecer às normas, procedimentos e Políticas de Tecnologia da Informação da CONTRATANTE, com todos os regulamentos e todas as atualizações correspondentes deste enquadramento, relativas aos países a partir dos quais a CONTRATADA preste os serviços ou hospede aplicativos ou dados.5.7. Preservar a disponibilidade e precisão das informações dos processos suportados e proteger as informações confidenciais e proprietárias, bem como os direitos de propriedade intelectual da CONTRATANTE.5.8. Assegurar que o acordo de confidencialidade e as obrigações deste CONTRATO sejam atendidos por seus diretores, funcionários, representantes, agentes, e quaisquer outros subcontratados que irão executar tarefas descritas neste CONTRATO, antes da CONTRATADA direcioná-los à prestação dos serviços objeto deste CONTRATO.5.9. As alterações relativas aos aplicativos, arquitetura, procedimentos operacionais, procedimentos de segurança e sua respectiva avaliação de riscos, deverão ser comunicadas antecipadamente.5.10. A CONTRATANTE poderá verificar e controlar a qualquer tempo que os produtos fornecidos e/ou serviços prestados pela CONTRATADA estejam em conformidade com o CONTRATO. A CONTRATADA deverá oferecer a sua máxima cooperação, para permitir que a CONTRATANTE realize a verificação de conformidade dos produtos fornecidos e/ou serviços prestados.5.11. Atender aos requisitos de governança de tecnologia da informação da CONTRATANTE, o que implica em fornecer informações úteis sobre: (i) infraestrutura / arquitetura de tecnologia da informação e de segurança atualizadas, (ii) organização de tecnologia da informação
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 41 de 57
responsável pelo serviço; e (iii) alterações relativas à arquitetura e procedimentos de segurança, e sua correspondente avaliação de riscos.5.12. Para o escopo do Serviço definido neste documento, para todos os efeitos, incluindo todas as considerações de segurança de TI, o Fornecedor será o responsável final perante a CONTRATANTE. Sob nenhuma circunstância, a CONTRATANTE assumirá ou aceitará o compartilhamento de responsabilidade entre o Fornecedor e qualquer outra terceira parte, incluindo parceiros de negócios e subcontratados do Fornecedor.5.13. A CONTRATADA deverá assegurar que todas as atividades do serviço mantenham adequadamente os registros de negócios apropriados, de acordo com as melhores práticas da indústria e em conformidade com as leis e regulamentações aplicáveis, e assegurar também que os documentos estejam protegidos contra acesso ou uso indevidos, perda, alteração, ou destruição. A CONTRATADA deverá realizar revisões regulares para detectar potenciais problemas de segurança. A CONTRATADA poderá ser obrigada a revelar as configurações, o processo de revisão, e os resultados.5.14. Responsabilizar-se única e exclusivamente por todas as medidas de segurança para garantir a proteção de seus sistemas e redes internas, isentando a CONTRATANTE de qualquer responsabilidade.5.15. Um procedimento de escalonamento, o qual deverá incluir pessoal responsável da CONTRATANTE, deverá ser definido para gerenciar a operação do serviço e o monitoramento e solução de incidentes. Este procedimento de escalonamento deverá ser aprovado pela CONTRATANTE antes da prestação do serviço. O procedimento deverá incluir um método de comunicação para informar a CONTRATANTE, o mais rapidamente possível, sobre quaisquer questões, as etapas definidas para tratá-las, os riscos implícitos e a criticidade.5.16. Juntamente com a definição de requisitos de negócios para novos sistemas ou serviços de informação, ou melhorias em sistemas ou serviços de informação existentes, a CONTRATADA deverá assegurar que a avaliação de segurança seja realizada e que controles de segurança apropriado sejam identificados e incorporados aos requisitos. A avaliação e os controles de segurança a serem incluídos deverão ser analisados e aprovados pela CONTRATANTE.5.17. A CONTRATADA não deverá estabelecer qualquer tipo de link de comunicação de dados entre as suas redes e sistemas e os da CONTRATANTE, incluindo, mas não se limitando a atividades de supervisão, intervenção remota, e qualquer tipo de transferência de dados, por qualquer meio, incluindo, mas não se limitando a links diretos permanentes, Internet, VPN [rede privada virtual], ou dial-up [acesso por linha discada], sem a aprovação da CONTRATANTE.5.18. A CONTRATADA deverá garantir que o ambiente de Tecnologia da Informação, em seu lado, assegure a integridade, disponibilidade e confidencialidade do patrimônio de Tecnologia da Informação da CONTRATANTE, incluindo dados, informações e direitos de propriedade intelectual.5.19. Somente usuários autenticados e autorizados, com uma data de expiração de usuário pré-definida, deverão ter permissão para acessar sistemas da CONTRATANTE e o prazo de acesso deverá ser restrito.5.20. Deverão ser mantidos logs de auditoria completos, nos níveis de conexão, sistema operacional, e aplicativos. A CONTRATANTE se reserva o direito de supervisionar em tempo real, gravar e utilizar os dados armazenados das conexões.5.21. Todas as conexões com a CONTRATADA deverão ser criptografadas e serão estabelecidas somente através de firewalls da CONTRATANTE. Somente serão permitidos hosts e protocolos previamente autorizados. 5.22. A CONTRATADA deverá notificar imediatamente a CONTRATANTE, sempre que qualquer funcionário autorizado da CONTRATADA deixe a empresa, ou já não necessite de acesso, ou tenham sido modificadas as responsabilidades para acessar qualquer patrimônio de informações da CONTRATANTE. Assim que termine a prestação do serviço pela CONTRATADA, por qualquer razão, normal ou anormal, todos os acessos deverão ser imediatamente revogados. A CONTRATADA não será mais autorizada a acessar o patrimônio de
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 42 de 57
informações da CONTRATANTE. Todas as informações de propriedade da CONTRATANTE deverão ser enviadas à CONTRATANTE, em duas cópias, sendo em seguida removidas com segurança de todos os dispositivos.5.23. A CONTRATADA deverá rever a qualquer tempo o acesso de seus empregados ao patrimônio de informações da CONTRATANTE, e prontamente corrigir qualquer discrepância em potencial. Mediante solicitação da CONTRATANTE, a CONTRATADA deverá revelar os resultados da última análise de acessos, bem como as respectivas ações corretivas.5.24. A CONTRATADA não poderá utilizar qualquer criptografia desenvolvida internamente, para proteger as informações, os aplicativos ou a infra-estrutura da CONTRATANTE. Quaisquer algoritmos simétricos, assimétricos, ou de hashing, utilizado na infra-estrutura da CONTRATANTE, deverá utilizar algoritmos e ferramentas bem conhecidos, publicados, apresentados à comunidade global de criptografia, e adotados como padrão da indústria.5.25. A resistência dos algoritmos de criptografia deverá ser a mais alta possível, aprovada pelo CSO [Chief Security Officer / Chefe de Segurança] local da CONTRATANTE, e em conformidade com os requisitos de negócios da CONTRATANTE e com a legislação aplicável.5.26. Conexões que utilizem a Internet deverão ser protegidas utilizando tecnologias de criptografia, adotados como padrão de mercado.5.27. Deverão ser criptografados todos os dispositivos móveis e portáteis utilizados para prover o serviço à CONTRATANTE e que contenham dados confidenciais.5.28. A CONTRATANTE deverá comunicar à CONTRATADA as regras de segurança estabelecidas em conformidade com a legislação aplicável, bem como as regras de acesso.5.29. A CONTRATADA deverá prover a CONTRATANTE uma lista com os nomes e funções dos funcionários que terão acesso aos Locais da CONTRATANTE. Pessoas incluídas na lista acima referida deverão apresentar-se na recepção do Local da CONTRATANTE, onde receberão um cartão de visitante ou crachá, que deverão portar de forma visível, durante todo o tempo de permanência nas instalações da CONTRATANTE.5.30. Se, por qualquer motivo, uma pessoa não incluída na lista precise acessar o site, ele ou ela deverá ser registrado na recepção, mediante apresentação de sua identificação com foto, ou passaporte. A referida pessoa deverá ser acompanhada por um colaborador da CONTRATANTE, em todos os momentos.5.31. Caso algum membro do pessoal da CONTRATADA, quer previamente autorizado através da lista ou não, necessite acessar áreas sensíveis (tais como salas de servidores, datacenters, armários de rede, etc.), este deverá ser acompanhado por um colaborador da CONTRATANTE, em todos os momentos.5.32. Se a CONTRATADA necessitar acessar os Locais, fora dos horários de trabalho, a CONTRATANTE deverá informar à CONTRATADA as regras específicas a serem respeitadas.5.33. O uso de qualquer tipo de mídia de armazenamento, com exceção dos discos rígidos internos e fitas de backup, deverá ser previamente aprovado pela CONTRATANTE. O uso de mídias de armazenamento removíveis e portáteis, tais como CDs, DVDs, drives USB, Flashdrives, etc., é estritamente proibido.5.34. A CONTRATADA deverá designar uma pessoa como responsável pela proteção e descarte seguro dos meios de armazenamento. Caso qualquer mídia de armazenamento precise ser descartada, a CONTRATADA deverá desativá-la de maneira segura, de tal forma que os dados não possam ser recuperados a partir da mesma. A mídia deverá ser descartada utilizando uma terceira parte certificada para realizar descarte seguro, ou destruída fisicamente (após os dados haverem sido apagados) tornando-a completamente inoperante. A desativação / destruição de mídia requer a aprovação prévia da CONTRATANTE e a posterior notificação por esta à CONTRATADA.5.35. Todos os ativos de tecnologia da informação da CONTRATANTE que devam deixar as instalações da CONTRATADA (por exemplo, para reparação) deverão ser autorizados pela CONTRATANTE. Todas as informações armazenadas no dispositivo deverão ser previamente removidas de forma segura. Se a remoção não for prática ou possível, a CONTRATADA será o
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 43 de 57
responsável principal por proteger os ativos contra uso não autorizado, modificação, divulgação, ou destruição, acidental ou intencional. 5.36. Previamente à remoção dos ativos das instalações da CONTRATANTE, os controles de segurança a estabelecer deverão ser apresentados pela CONTRATADA e aprovados pela CONTRATANTE.5.37. Se os ativos tiverem de ser desativados ou descartados, as informações deverão ser destruídas de forma segura, e o processo de descarte deverá estar em conformidade com as leis e regulamentos locais.5.38. Nenhuma alteração dos termos deste CONTRATO terá efeito, a menos que seja feita por escrito e assinada por cada uma das PARTES. 5.39. Toda e qualquer exceção às disposições definidas pelas presentes cláusulas deverá ser aprovada por escrito pela CONTRATANTE. 5.40. O presente Termo é assinado em caráter irrevogável e irretratável, permanecendo em pleno vigor e efeito durante todo o prazo de duração do Contrato.5.41. As auditorias poderão verificar, especialmente mas não limitando, a: (i) desempenho e qualidade dos serviços prestados; (ii) o cumprimento das obrigações deste CONTRATO, inclusive os níveis de serviços dos mesmos; (iii) teste internos e externos para assegurar o cumprimento das obrigações de acordo com a legislação e o CONTRATO firmado entre as PARTES; e (iv) aplicação de testes internos de penetração na infra-estrutura ou aplicativos hospedados.5.42. Independentemente das tarefas contidas diretamente na atividade de serviço de segurança, ou se o serviço incluir atividades de segurança, a CONTRATADA deverá assegurar que todas as atividades do Serviço atendam às Políticas de Segurança da Informação da CONTRATANTE e às normas e diretrizes de segurança e arquitetura, tanto aquelas existentes no momento da assinatura, quanto àquelas que venham a ser lançadas no futuro.5.43. As atividades de segurança deverão proporcionar proteção contra o uso não autorizado, modificação, divulgação ou destruição, acidental ou intencional, para o patrimônio de dados corporativos, oferecendo trilhas de auditoria adequada, e em conformidade com as leis aplicáveis.5.44. O escopo das atividades de segurança deverá incluir (não se limitando a) os seguintes processos: antivírus, patches [correções] e atualizações, criptografia, configuração de novos usuários, redefinições de senhas, e exclusão ou modificação de contas de usuários.5.45. Qualquer mudança na configuração do ambiente de produção deverá obedecer ao procedimento de autorização. Quando a CONTRATADA for responsável pela configuração e/ou gestão de equipamentos, deverá informar a CONTRATANTE a configuração atual, as alterações propostas, o protocolo de testes, e os resultados dos testes. As alterações de configuração só poderão ser aplicadas após a notificação à CONTRATANTE e sua aprovação.5.46. Todo o desenvolvimento de software deverá incluir um teste de segurança, com a finalidade de evitar a injeção de código malicioso. O processo e os resultados dos testes de segurança da CONTRATADA deverão ser revelados à CONTRATANTE (por exemplo, testes das funções de autenticação, autorização e contabilização, revisões de código-fonte, e quaisquer outras atividades destinadas a validar a arquitetura de segurança)5.47. Desativar imediatamente a totalidade ou parte da funcionalidade do serviço, caso seja identificado um problema de segurança.5.48. A CONTRATADA deverá apresentar um documento da arquitetura proposta, que inclua um completo diagrama da rede do Ambiente da CONTRATANTE, ilustrando a relação entre o Ambiente da CONTRATANTE e quaisquer outras redes relevantes, com um fluxograma de dados completo, detalhando onde residem os dados da CONTRATANTE, os aplicativos que os manipulam, e a segurança dos mesmos. Quaisquer alterações ou atualizações no modelo de comunicação de dados entre CONTRATADA e CONTRATANTE, mudanças significativas e atualizações nas configurações de segurança, deverão ser previamente comunicadas e aprovadas pela CONTRATANTE.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 44 de 57
5.49. A rede que hospeda o aplicativo deverá ser fisicamente isolada [air-gapped] de qualquer outra rede ou cliente que a CONTRATADA possa ter.5.50. O ambiente de testes deverá emular o ambiente operacional do sistema, tanto quanto possível.5.51. Para todos os ambientes, a CONTRATADA deverá revelar como, e em que medida, os hosts e servidores que compõem a infra-estrutura da CONTRATANTE foram reforçados contra ataques. A CONTRATADA deverá fornecer uma lista de patches atuais nos hosts, incluindo patches do Sistema Operacional host, de servidores web, de bancos de dados, e de qualquer outro aplicativo material, bem como informações sobre como e quando os patches de segurança serão aplicados. Em caso de dispositivos de rede, laptops e desktops, a CONTRATANTE poderá exigir estas ou quaisquer outras informações. A CONTRATADA deverá revelar os seus processos para monitoramento da integridade e disponibilidade desses hosts.5.52. A CONTRATADA deverá atender à política de senhas da CONTRATANTE, para a infraestrutura da CONTRATANTE (incluindo Sistema Operacional, Bancos de dados, e dispositivos de rede que suportem o serviço), incluindo comprimento mínimo de senhas, diretrizes de geração de senhas, e idade de senhas. Contas de usuário e/ou senhas compartilhadas são proibidas. A CONTRATADA deverá revelar o método utilizado para autenticar usuários.5.53. Deverá ser definido um procedimento de acesso de emergência, para o acesso à infra-estrutura da CONTRATANTE. Este processo precisa ser aprovado pela CONTRATANTE.5.54. A CONTRATADA deverá fornecer informações sobre a geração, manutenção e processo de encerramento de contas, para "contas especiais" (de administração, de serviço, de monitoramento e de manutenção), bem como para contas de usuários. Esta informação deverá abranger a criação de contas, informação de contas e senhas para usuários finais, e revogação de contas.5.55. A CONTRATADA deverá fornecer informações sobre a sua política de logs, incluindo as configurações de logs implementadas, e procedimento de revisão.5.56. Assim que o serviço prestado termine (vencimento do contrato), a CONTRATADA deverá entregar duas cópias das informações da CONTRATANTE e realizar de forma segura a destruição das informações armazenadas. O acesso deverá ser imediatamente revogado, e a CONTRATADA não será mais autorizado a acessar o patrimônio de informações da CONTRATANTE.5.57. A CONTRATADA deverá revelar a forma pela qual irá autenticar os usuários (por exemplo, LDAP, Netegrity, Certificados de Cliente).5.58. A CONTRATADA deverá fornecer informações sobre a sua política de senhas para a infra-estrutura de aplicativos da CONTRATANTE, incluindo comprimento mínimo de senhas, diretrizes de geração de senhas, e a freqüência com que as senhas serão alteradas.5.59. A CONTRATADA deverá revelar a forma pela qual protege as senhas, quando armazenadas e transmitidas dentro da infra-estrutura de aplicativos da CONTRATANTE, e a forma pela qual destrói as informações, quando não tenham mais utilidade.5.60. A CONTRATADA poderá ser obrigada a revelar os arquivos de configuração específicos, para qualquer sistema associado às funções de suporte (tais como mecanismos de busca ou bases de dados) e detalhes técnicos (linguagens de programação, etc.) sobre o(s) aplicativo(s).5.61. O Fornecedor deverá gerenciar todas as medidas necessárias para assegurar a continuidade do serviço, em conformidade com o SLA [Service Level Agreement / Acordo de Níveis de Serviço] definido, incluindo a aplicação das atualizações e "patches" [correções] necessárias para hardware e software, conforme recomendação de cada Fornecedor de Tecnologia.5.62. O Fornecedor deverá oferecer regularmente as recomendações necessárias para garantir a compatibilidade com as últimas versões de software, hardware, e software distribuído comercialmente, à medida que tais versões sejam autorizadas no âmbito da CONTRATANTE e executar as atividades recomendadas, tão logo seja possível, após obtida a aprovação da CONTRATANTE.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 45 de 57
5.63. O serviço incluirá gestão de backup e restauração: designadamente, um serviço de planejamento, implantação e testes dos procedimentos de recuperação (incluindo login pelos usuários finais) necessários para restabelecer a funcionalidade do Serviço, Sistema Operacional do sistema, bancos de dados, aplicativos, e dados dos usuários, em caso de uma falha.5.64. Gerenciar todas as medidas necessárias para assegurar a continuidade do serviço objeto deste CONTRATO.5.65. A CONTRATADA deverá informar regularmente as recomendações necessárias para garantir a compatibilidade com as últimas versões de software, hardware, e software distribuído comercialmente, à medida que tais atualizações das versões sejam autorizadas por escrito pela CONTRATANTE, a CONTRATADA deverá executar as atividades recomendadas, passando os documentos trocados pela PARTES, em razão do disposto neste item serão parte integrante do CONTRATO.5.66. Eventuais manutenções, aperfeiçoamentos, atualizações e/ou modificações cuja execução seja necessária para garantir que os serviços de desenvolvimento/manutenção estejam em conformidade com o Guia de Desenvolvimento Seguro e, ainda, com a legislação aplicável e/ou às demais normas expedidas por qualquer autoridade governamental competente, serão realizados pela NOME FANTASIA, sem qualquer ônus à CNI. A responsabilidade da NOME FANTASIA pelo cumprimento das normas bem como da legislação aplicável vigorará por tempo indeterminado.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 46 de 57
ANEXO II
PAPEL TIMBRADO DA LICITANTECARTA DE CREDENCIAMENTO (MODELO)
Local e data À,Comissão Permanente de Licitação – SENAI/DN REF. PREGÃO Nº 24/2019 Pela presente fica credenciado o Sr(a) _____________________________________, inscrito no CPF sob o nº ______________________, identidade nº__________________, expedida por _____________, junto ao SENAI/DN para representar esta Empresa (razão social)__________________________________________, inscrita no CNPJ sob o nº ____________________________ na licitação acima referida, a quem se outorga os poderes para rubricar propostas das demais licitantes, assinar atas e documentos, interpor recursos, receber notificação, tomar ciência de decisões, recorrer, desistir da interposição de recursos, acordar, transigir, dar lances, enfim, praticar todo e qualquer ato necessário à perfeita representação ativa da outorgante no procedimento licitatório em referência.
______________________________LICITANTE
(nome da empresa com assinatura do seu(s) representante(s) legal (is)(com firma reconhecida)
Prezado Licitante,A carta escrita no modelo acima deverá ser entregue fora dos envelopes relacionados no item 2.4 do Instrumento Convocatório, juntamente com uma cópia autenticada do Contrato Social ou Instrumento de Procuração que comprove a legitimidade de poderes da pessoa que tiver assinado a credencial.Juntamente com a carta de credenciamento, entregar à CPL a cópia simples da cédula de identidade do representante designado.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 47 de 57
ANEXO III MODELO DE PROPOSTA DE PREÇOS
(Preferencialmente em papel timbrado da empresa)
À Comissão Permanente de Licitação - SENAI/DN,SBN Quadra 1 – Bloco C - Ed. Roberto Simonsen – 2º andar - 70040-903 – Brasília – DF Referência: Pregão nº 24/2019 Pela presente, _____________________________________(razão social da proponente), inscrita no CNPJ sob o n.º _____________ e inscrição estadual nº __________________, estabelecida no(a) _______________________________________, ciente e de acordo com todas as especificações e condições do Edital e seus Anexos relativos ao Pregão em referência, vem, por intermédio do seu representante legal ao final assinado, propor os preços abaixo descritos:
TABELA DE PRECIFICAÇÃO A SER APRESENTADA PELAS EMPRESAS LICITANTES
Atividade ou serviço a ser precificado
Quantidades
Estimadas (I)
Valor unitário(R$) (II)
Valor total estimado
(R$)(I) X (II)
Serviços de Implantação e operação da Plataforma, contemplando todos os serviços previstos no item 7 e seus subitens do Termo de Referência da Contratação.
5 localidades
R$ _________
_Por
localidade
(A)R$ ________x 5
=R$ _________
Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service) por meio do Fornecimento de até 20 licenças de uso simultâneas, durante o período de 12 meses, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença
20 licenças SaaS com cenários
R$ _________
_Por 1 licença
SaaS/mês
(B)R$ ________x 20 x 12 =
R$ _________
Capacitação presencial de administradores, com carga horária mínima de
8 horas
1 turma
R$ _________
_Por 1 turma
(C)R$ ________
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 48 de 57
Capacitação presencial de docentes, com carga horária mínima de 40
horas
1 turma
R$ _________
_Por 1 turma
(D)R$ ________
Valor total estimado da proposta apresentada pela empresa
(A+B+C+D)R$ __________
1) Valor total estimado: R$ __________________________ (VALOR POR EXTENSO). 2) Declaramos que nos preços apresentados estão inclusos todos os custos decorrentes do fornecimento e serviços objeto da referida licitação, bem como todos os tributos e encargos trabalhistas, previdenciários, comerciais, além de seguros, fretes, deslocamentos de pessoal para Brasília/DF e/ou sedes dos Departamentos Regionais aderentes, se houverem, e quaisquer outros custos que incidam direta ou indiretamente da contratação. 3) Declaramos ainda, que estamos cientes que o compromisso de aquisição se dará a medida que o Departamento Nacional do SENAI e/ou cada Departamento Regional aderente celebrar o seu contrato específico, nas quantidades e condições nele previstas, observando o disposto no edital, seus anexos e no Termo de Compromisso de Registro de Preço. 4) Os dados da nossa empresa são:a) Razão Social: _________________________________________________________;b) CNPJ (MF) nº: _________________________________________________________;c) Inscrição Estadual nº: ___________________________________________________;d) Endereço: ____________________________________________________________;e) Fone: _____________________ Fax: ______________________________________;f) CEP: __________________________; eg) Cidade: ________________________ Estado: _______________________________;h)Representante (s) legal (is) com poderes para assinar o contrato:_______________________________________________;i) Qualificação (Cargo, RG, CPF):____________________________________________;j) Banco:________Conta Corrente:_________________Agência:___________________.
Local e data
________________________________________________________Assinatura do Representante Legal
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 49 de 57
ANEXO IVTERMO DE COMPROMISSO
TERMO DE COMPROMISSO DE REGISTRO DE PREÇOS QUE ENTRE SI CELEBRAM O SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – DEPARTAMENTO NACIONAL – SENAI/DN E A EMPRESA XXXXXXXXXXXX. PROCESSO nº 03423/2019 - SC nº 035994.
SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – DEPARTAMENTO NACIONAL – SENAI/DN, com sede no Setor Bancário Norte, Quadra 01, Bloco C, Edifício Roberto Simonsen, 5º andar, na cidade de Brasília (DF), inscrito no CNPJ sob o nº 33.564.543/0001-90, neste ato representado pelo xxxx, xxxxxxx e pelo xxxxxx, xxxxxxx.
EMPRESA ___________________, com sede na Rua ________________, nº ____, bairro _______, na cidade de_______ (UF), CEP_______, fone ______, inscrita no CNPJ sob o nº ________, inscrição municipal nº ______, neste ato representada por __________, cargo/função _______, portador do RG nº_______ e CPF nº _______.As partes acima identificadas, por intermédio de processo licitatório na modalidade Pregão nº 24/2019, do Tipo Menor Preço Global , devidamente autorizado pelo Processo nº 03423/2019, regido pelo Edital e seus Anexos, pelo Regulamento de Licitações e Contratos do SENAI, publicado no DOU de 16/09/1998, com as alterações publicadas em 26/10/2001, 11/11/2002, 24/2/2006 e 11/5/2011 e 23/12/2011, pela proposta da CONTRATADA que foi apresentada no mencionado certame, resolvem celebrar o presente Termo de Compromisso de Registro de Preços, nas cláusulas e condições que se seguem:
CLÁUSULA PRIMEIRA – DO OBJETO
1. OBJETO
1.1. O objeto deste Termo de Compromisso é o Registro de Preços para contratação de Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service), contemplando:
a) Sistema digital hiper-realista para a simulação de ataques cibernéticos, com interface para capacitação de especialistas em Cibersegurança, acessado via web/internet;b) Fornecimento de 20 licenças de uso simultâneas durante 1 ano, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença;c) Serviços de instalação e comissionamento para pleno funcionamento do sistema digital nos locais definidos pelo SENAI, quais sejam: Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança;d) Realização de 1 capacitação presencial para 5 docentes, com carga horária mínima de 40 horas e 1 capacitação presencial para 5 administradores, com carga horária mínima de 8 horas.1.1.1. A solução de simulação de ataques cibernéticos com interface para capacitação de especialistas, doravante denominada Plataforma de Cibersegurança, é um ambiente digital que permite a simulação de ataques cibernéticos em diversos cenários e vírus emulados, integrados a uma plataforma de cursos com conteúdos orientados ao desenvolvimento de pré-requisitos na área de Cibersegurança. A plataforma permite
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 50 de 57
ainda a adaptação às necessidades de aprendizagem de cada aluno apresentando, de forma personalizada, informações, conteúdos didáticos, avaliações, comentários, recomendações e relatórios para a gestão do ensino e aprendizagem.1.1.2. A finalidade da contratação visa a capacitação de especialistas no Brasil em Cibersegurança, com capacidade de atendimento para até 1.000 (um mil) alunos por ano, sendo até 40 alunos por turma (com 2 alunos por licença/computador), para um curso com duração de 90 horas, ministrado ao longo de 2 semanas, e limite máximo de 25 turmas por ano.1.1.3. A CONTRATADA deverá entregar ao contratante um plano de projeto para implantação da plataforma de cibersegurança, no idioma português (pt-BR), no prazo máximo de 30 (trinta) dias a partir da assinatura do contrato.1.1.4. Todas as interfaces da Plataforma com os usuários finais e com os usuários administradores, tais como menus, formulários de entrada ou exibição de dados, relatórios, manuais, tutoriais e outros tipos de documentação, online ou off-line, bem como todos os requisitos da Plataforma, descritos no Anexo I-A do Edital Pregão 24/2019 - "Descrição dos Requisitos da Plataforma de Cibersegurança", deverão ser disponibilizados ao CONTRATANTE, no prazo de até 60 dias após a assinatura do contrato.1.1.5. A plataforma deverá ser entregue no idioma Inglês (en-US/UK) ou português (pt-BR). O idioma inglês será considerado dado os termos técnicos relacionados a programação em TI, a vírus de sistemas computacionais e Cibersegurança, serem mundialmente reconhecidos/referenciados no idioma inglês.1.1.6. Para provimento desta solução deverão ser observadas as condições e especificações estabelecidas no Termo de Referência, Anexo I do Edital Pregão 24/2019. - Da abrangência do Projeto
1.1.7. A implantação da Solução de Plataforma de Cibersegurança ocorrerá em 5 (cinco) localidades, sendo: SENAI/DN em Brasília - Distrito Federal, e nos Departamentos Regionais da Bahia, Amazonas, Rio Grande do Sul e Rio de Janeiro, nas cidades de Salvador, Manaus, Porto Alegre e Rio de Janeiro, respectivamente.1.1.8. A Solução de Plataforma de Cibersegurança será ofertada para até 1.000 (um mil) alunos por ano, mediante a disponibilização de 20 (vinte) licenças de uso simultâneo, incluindo todos os serviços especificados nos itens 7 e 8 e seus subitens do Termo de Referência – Anexo I do Edital Pregão 24/2019.1.1.9. As capacitações poderão ser realizadas na sede do Departamento Nacional ou dos respectivos Departamentos Regionais Aderentes.1.10. A fase de implantação terá o prazo máximo de 120 (cento e vinte) dias, que corresponde as etapas de Infraestrutura de TI para sustentação da solução, Documentação da Plataforma, Configuração e Parametrização, Plataforma em Produção (com ambiente de homologação da parametrização e roll out), Operação assistida, Backup e Restore, Sustentação a operação, Suporte ao Usuário, e Garantia dos serviços da solução de plataforma de cibersegurança, definidas no Termo de Referência – Anexo I do Edital Pregão 24/2019.1.11 A utilização da plataforma será por 12 (doze) meses, contados data do atesto pelo CONTRATANTE, acerca do recebimento da fase de implantação.1.12. A CONTRATADA é responsável pela elaboração de relatórios de execução das etapas do projeto, para subsidiar a avaliação da prestação dos serviços pelo SENAI/DN, e do respectivo termo de aceite/recebimento pelo CONTRATANTE.1.13. O objeto deste Termo de compromisso possibilita, por meio de registro de preço, a adesão e utilização pelos Departamentos Regionais do SENAI, caso haja interesse/demanda pela expansão desta oferta.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 51 de 57
1.14 Os Departamentos Regionais do SENAI poderão contratar total ou parcialmente os serviços descritos no Termo de Referência – Anexo I do Edital Pregão 24/2019, necessários à utilização da Plataforma – conforme sua conveniência, mediante adesão ao registro de preço – ficando a CONTRATADA obrigada a praticar os preços unitários estabelecidos em sua proposta de preços, ou preços inferiores que eventualmente pratique no mercado. CLÁUSULA SEGUNDA – DOS PREÇOS REGISTRADOS2.1. Os preços e quantidades registrados são os constantes da Proposta de Preços apresentada pela empresa vencedora do certame referenciado, que celebra este Termo de Compromisso, transcritos a seguir:
Atividade ou serviçoQuantidade
sEstimadas
(I)
Valor unitário(R$) (II)
Valor total estimado
(R$)(I) X (II)
Serviços de Implantação e operação da Plataforma, contemplando todos os serviços previstos no item 7 e seus subitens do Termo de Referência Anexo I do Edital Pregão 24/2019.
5 localidades
R$ _________
_Por
localidade
(A)R$ ________x 5
=
R$ _________
Solução de simulação de ataques cibernéticos em sistemas de Tecnologia da Informação (denominada Plataforma de Cibersegurança), no modelo SaaS (software as a service) por meio do Fornecimento de até 20 licenças de uso simultâneas, durante o período de 12 meses, incluindo pacote de 20 cenários diferentes de simulação disponíveis em cada licença
20 licenças SaaS com cenários
R$
__________
Por 1 licença
SaaS/mês
(B)
R$ ________x 20 x 12 =
R$ _________
Capacitação presencial de administradores, com carga horária mínima de
8 horas
1 turma
R$ _________
_Por 1 turma
(C)R$ ________
Capacitação presencial de docentes, com carga horária mínima de 40
horas
1 turma
R$ _________
_Por 1 turma
(D)R$ ________
Valor total estimado (A+B+C+D)R$ __________
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 52 de 57
CLÁUSULA TERCEIRA – DA VALIDADE DOS PREÇOS
3.1. Os preços registrados nos termos da Cláusula Segunda deverão ser mantidos pelo prazo de vigência deste instrumento, observando-se o disposto no artigo 34 do RLC do SENAI.3.2. Os preços praticados não sofrerão alteração durante a vigência dos possíveis contratos a serem celebrados no âmbito do registro de preço .
CLÁUSULA QUARTA – DA CELEBRAÇÃO DOS CONTRATOS INDIVIDUAIS E DAS OBRIGAÇÕES DA EMPRESA QUE TEVE SEU PREÇO REGISTRADO
4.1. O registro de preço ora celebrado poderá ser objeto de adesão pelos Departamentos Regionais do SENAI, conforme previsto no artigo 38-A e seguintes do Regulamento de Licitações e Contratos do SENAI.4.2. Este Termo de Compromisso não importa em direito subjetivo de quem registrou o preço de exigir a aquisição.4.2.1. O compromisso de aquisição do objeto só estará caracterizado quando da assinatura de contrato especifico com a empresa que teve seu preço registrado.4.2.2. Os contratos decorrentes do Registro de Preço, observadas as condições previstas neste edital, seus anexos e no RLC do SENAI, serão celebrados entre o SENAI/DN e/ou os Departamentos Regionais do SENAI aderentes e a empresa que teve seu preço registrado.4.2.3. A adesão ao Registro de Preço pelos Departamentos Regionais do SENAI implicará à CONTRATADA, no fornecimento e na prestação dos serviços, conforme previsto no Edital Pregão 24/2019 e seus anexos.
CLÁUSULA QUINTA - DAS CONDIÇÕES DE FORNECIMENTO
5.1. Os contratos a serem celebrados entre o SENAI/DN e/ou os Departamentos Regionais do SENAI aderentes e a empresa que teve seu preço registrado, deverão regular as condições de fornecimento de acordo com o previsto no Edital do Pregão Presencial nº 24/2019 e seus anexos, na proposta de preço registrada e neste instrumento.CLÁUSULA SEXTA - DO PRAZO DE VIGÊNCIA
6.1. O presente termo de Compromisso terá vigência de 12 (doze) meses, a partir da data de sua assinatura, podendo ser prorrogado, observando-se o disposto no artigo 34 do RLC do SENAI.
CLÁUSULA SÉTIMA - DO CRONOGRAMA DE EXECUÇÃO E DO PAGAMENTO
7.1. Os marcos de entrega e prazos máximos de execução do fornecimento e dos serviços contratados serão realizados conforme tabela a seguir:
MARCOS DE ENTREGA E CRONOGRAMA DE EXECUÇÃO
Atividades e Serviços da Solução de
Plataforma de Cibersegurança
Marcos de entrega Prazo máximo de execução
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 53 de 57
- Reunião de Alinhamento de Expectativas
Assinatura do contrato + 15 dias úteis
- Apresentação da Equipe Técnica da Empresa
Assinatura do contrato + 15 dias úteis
- Plano de projeto para implantação da Solução
Assinatura do contrato + 30 dias
Implantação da Solução
Disponibilizar layout, configuração mínima de hardware e software para
instalação dos laboratórios de TI do
SENAI
Assinatura do contrato + até 30 dias
Implantação da Solução
Documentação da Plataforma inicial
Assinatura do contrato + até 60 dias
Implantação da Solução
Configuração e Parametrização da
plataforma
Assinatura do contrato + até 60 dias
Implantação da Solução
Instalação e comissionamento dos laboratórios de TI
Assinatura do contrato + até 60 dias
Implantação da Solução
Plataforma disponibilizada com os requisitos necessários para sua entrada em
homologação
Assinatura do contrato + até 90 dias
Implantação da Solução
Plataforma disponibilizada com os requisitos necessários para sua entrada em
produção
Assinatura do contrato + até 90 dias
Implantação da Solução
Documentação da Plataforma final
Assinatura do contrato + até 90 dias
Serviços de Capacitações
Capacitação presencial de administradores
Assinatura do contrato + até 100 dias
Serviços de Capacitações
Capacitação presencial de docentes
Assinatura do contrato + até 100 dias
Implantação da Solução Operação assistida
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contrato
Implantação da Solução Backup e Restore
Assinatura do contrato + até 90 dias – início
Término – final de contratoImplantação da
SoluçãoSustentação Assinatura do contrato +
até 90 dias – inícioTérmino – final de
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 54 de 57
contrato
Implantação da Solução Suporte ao usuário
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contrato
Implantação da Solução Níveis de serviço
Assinatura do contrato + até 90 dias – inícioTérmino – final de
contratoServiços de
Implantação e operação da Plataforma.
Plataforma apta para oferta de curso a turma
de alunos
Assinatura do contrato + até 120 dias
Término – 12 meses de operação após roll out
7.2. Os pagamentos referentes ao fornecimento e a prestação de serviços no âmbito dos contratos celebrados em decorrência deste registro de preço seguirão a seguinte regra:7.2.1. Os pagamentos pelo fornecimento de Plataforma serão efetuados no dia 22 do mês seguinte à prestação dos serviços, mediante crédito na conta corrente bancária a ser indicada pela CONTRATADA, observando o que segue:7.2.2. O pagamento dos serviços de implantação será realizado em parcela única após o recebimento da fase de implantação pelo CONTRATANTE e início da operação da solução.7.2.2.1 O pagamento pelos serviços de implantação da Plataforma contempla todos os serviços listados no item 7 e seus subitens, não havendo pagamento por serviços isolados.7.2.3. Os pagamentos referentes a utilização da plataforma serão realizados mensalmente, considerando a quantidade de licenças contratadas no período, mediante a apresentação de relatório pela CONTRATADA e atesto pelo CONTRATANTE.7.2.4. Os pagamentos referentes às Capacitações serão realizados mediante a apresentação de relatório de conclusão dos serviços pela CONTRATADA e atesto pelo CONTRATANTE.7.3. A CONTRATADA deverá apresentar a nota fiscal/fatura até o dia 10 (dez) do mês do pagamento.7.3.1. No caso de empresa estrangeira, a CONTRATADA deverá apresentar invoice até o dia 10 (dez) do mês do pagamento.7.4. Somente serão de responsabilidade do CONTRATANTE as despesas de deslocamento de profissionais da Contratada, referentes ao objeto do contrato, quando em viagens para destinos fora da sede da CONTRATADA ou fora da sede do CONTRATANTE, seja o Departamento Nacional em Brasília/DF ou dos Departamentos Regionais aderentes contratantes, se houver. As referidas despesas deverão ser previamente autorizadas pelo CONTRATANTE e serão limitadas ao que se segue:a) Fornecimento das passagens aéreas em classe econômica e tarifa promocional; eb) Pagamento de ajuda de custo por dia de viagem, que terá como referência os valores e critérios aplicados aos técnicos do CONTRATANTE, para as despesas com hospedagem e alimentação.
CLÁUSULA OITAVA – DAS PENALIDADES
8.1. A recusa da empresa contratada em assinar os contratos decorrentes deste Termo de Compromisso, bem como a solicitação para cancelamento dos preços registrados, ensejará a aplicação de multa no percentual de 10% (dez por cento) sobre o valor do Termo de Compromisso.
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 55 de 57
8.2. As penalidades decorrentes do descumprimento dos contratos celebrados em decorrência deste registro de preços seguirão a seguinte regra:I. Pela inexecução parcial ou total do Contrato, excluídas as hipóteses de caso fortuito e força maior, à CONTRATADA poderão ser aplicadas as seguintes penalidades, inclusive cumulativamente:a) Advertência, por escrito;b) Multas;c) Suspensão temporária de participação em licitação e impedimento de contratar com a Entidade Licitadora pelo prazo de até 02 (dois) anos.II. Nas hipóteses de inexecução parcial ou total das obrigações, à CONTRATADA poderá ser aplicada multa diária de 0,2% (dois décimos por cento) sobre o valor parcela, correspondente ao fornecimento em atraso, enquanto perdurar o descumprimento, sem prejuízo das penalidades descritas no Termo de Referência para o Acordo de Nível de Serviços.III. O inadimplemento da CONTRATADA dará à CONTRATANTE o direito de considerar resolvido o contrato, independentemente de prévia interpelação judicial ou extrajudicial, respondendo ainda a CONTRATADA pelas penalidades e pelas perdas e danos decorrentes, ressalvadas as hipóteses de caso fortuito ou força maior, devidamente comprovadas e impeditivas do fornecimento.IV. A resolução do Contrato motivada pelo inadimplemento de qualquer das partes ensejará a aplicação de multa à parte culpada correspondente a 10% (dez por cento) do montante do valor global do contrato, que ainda não houver sido pago à CONTRATADA, sem prejuízo de indenização por perdas e danos e sem prejuízo das penalidades descritas no Termo de Referência para o Acordo de Nível de Serviços, sendo que na hipótese de resolução por falta de pagamento deverão ser observadas as condições previstas no item V.V. O atraso no pagamento do serviço, por culpa da CONTRATANTE, implicará na incidência de multa de 2% (dois por cento) sobre o valor de cada fatura e juros moratórios de 1% (um por cento) ao mês. Os juros serão calculados desde a data limite para o pagamento até a satisfação do débito.VI. A CONTRATADA deverá comunicar, por escrito e justificadamente, as ocorrências de caso fortuito ou força maior impeditivas do fornecimento, no prazo máximo de 2 (dois) dias úteis contados da data da ocorrência, sob pena de não poder alegá-los posteriormente.VII. As eventuais multas e outros valores devidos pela CONTRATADA à CONTRATANTE poderão ser compensados no pagamento das parcelas, vencidas ou por vencerem, deduzidas da garantia ou poderão ser cobradas judicialmente, se for o caso.VIII. As multas poderão ser aplicadas tantas vezes quantas forem as irregularidades constatadas.IX. Além de qualquer outro descumprimento de cláusula contratual, constituem causas de resolução, em qualquer tempo, independentemente de interpelação judicial ou extrajudicial, sem que a CONTRATADA tenha direito a indenização, a qualquer título:a) Ceder ou transferir, no todo ou em parte, os serviços que constituem objeto do Contrato, sem a prévia autorização escrita do CONTRATANTE;b) Deixar de cumprir as obrigações previstas no contrato;c) Ocorrer reincidência, por parte da CONTRATADA, em infração contratual que implique na aplicação de multa;d) Ocorrer a decretação de falência, a liquidação judicial ou extrajudicial da CONTRATADA, ou ainda, o ingresso desta última em processo de recuperação judicial;e) Deixar de apresentar a garantia contratual prevista no contrato, no prazo previsto.X. Em qualquer das situações elencadas nas alíneas acima, exceto o previsto na letra “d”, a CONTRATADA ficará sujeita à multa resolutória prevista no item IV acima, cumulativamente, respondendo ainda, pelas perdas e danos decorrentes.CLÁUSULA NONA – DAS DISPOSIÇÕES FINAIS
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 56 de 57
9.1. Integram este Termo de Compromisso de Registro de Preços, independente de transcrição:Edital da Concorrência Conjunta nº 24/2019 e todos os seus Anexos.Proposta da Empresa que tiver seus preços registrados.
CLÁUSULA DÉCIMA – DO FORO10.1. Fica eleito o Foro de Brasília - DF, com exclusão de qualquer outro, por mais privilegiado que seja, para dirimir quaisquer questões relativas ao presente instrumento.E, por estarem justas e acertadas, firmam as partes o presente Termo de Compromisso de Registro de Preços em 2 (duas) vias de igual teor e forma e para um só fim, na presença das testemunhas abaixo, para que produza seus jurídicos e legais efeitos.
Brasília, ____ de _____________ de 2019.
______________________________________xxxxxxxxxxxxxxxxxxx
______________________________________xxxxxxxxxxxxxxxxxxx
Testemunhas: ___________________________Nome:CPF: ____________________________Nome:CPF:
/tt/file_convert/60920bbb2afd246a912db7e0/document.docx Página 57 de 57