SOC-MJ
SOC-MJ
SOC-MJ
000003/2021-38
EDITAL DE LICITAÇÃO
(08006.000003/2021-38)
Torna-se público que a União, por intermédio do Ministério da Jus ça e Segurança Pública, por meio
do Pregoeiro designado pela Portaria nº 251, de 02 de dezembro de 2021, da Coordenação-Geral de
Licitações e Contratos da Subsecretaria de Administração, publicada no D.O.U. de 06 de dezembro de
2021, da Coordenação-Geral de Licitações e Contratos da Subsecretaria de Administração (UASG
200005), realizará licitação, na modalidade PREGÃO, na forma ELETRÔNICA, com o critério de
julgamento menor preço por grupo, sob a forma de execução indireta, no regime de empreitada
por preço global para o grupo 1 e regime de empreitada unitário para o grupo 2, nos termos da
Lei nº 10.520, de 17 de julho de 2002, da Lei nº 8.248, de 22 de outubro de 1991, do Decreto nº
10.024, de 20 de setembro de 2019, do Decreto 9.507, de 21 de setembro de 2018, do Decreto nº
7.746, de 05 de junho de 2012, do Decreto nº 7.174, de 12 de maio de 2010, da Instrução Norma va
SGD/ME nº 1, de 4 de abril de 2019, das Instruções Norma vas SEGES/MP nº 05, de 26 de maio de
2017 e nº 03, de 26 de abril de 2018 e da Instrução Norma va SLTI/MPOG nº 01, de 19 de janeiro de
2010, da Lei Complementar n° 123, de 14 de dezembro de 2006, da Lei nº 11.488, de 15 de junho de
2007, do Decreto n° 8.538, de 06 de outubro de 2015, aplicando-se, subsidiariamente, a Lei nº 8.666,
de 21 de junho de 1993 e as exigências estabelecidas neste Edital.
TERMO DE REFERÊNCIA
PROCESSO Nº 08006.000003/2021-38
1. OBJETO DA CONTRATAÇÃO
1.1. Contratação de empresa especializada, para o fornecimento de Serviço de Centro de
Operações de Segurança (Security Opera ons Center - SOC) com funcionamento e suporte 24h
por dia e 7 dias por semana, Serviço de tratamento e resposta aos incidentes ciberné cos - CSIRT
- Blue Team e Serviço de teste de invasão - Red Team, pelo período de 24(vinte e quatro) meses,
renováveis até o limite de 60 (sessenta) meses, para o atendimento das necessidades da Diretoria de
Tecnologia da Informação e Comunicação - DTIC do Ministério da Jus ça e Segurança Pública -
MJSP, de acordo com as especificações técnicas con das neste Termo de Referência – TR e seus
anexos.
2. DESCRIÇÃO DA SOLUÇÃO DE TIC
2.1. Bens e serviços que compõem a solução
2.1.1. A tabela 1 apresenta a descrição dos itens a serem contratados (bens e serviços que
compõem a solução), detalhados neste Termo de Referência.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 23
um ente centralizado que possui funções de monitoramento con nuo de ameaças, análise dessas
ameaças, bem como, para prevenção e mi gação de incidentes de cibersegurança. Esse entendimento
pode ser extraído da brochura do Kaspersky for Security Operations Center, conforme a seguir:
"As businesses learn to better protect themselves, criminals are simultaneously devising increasingly
sophisticated techniques to penetrate their security barriers. Attracted by the unprecedented financial
rewards that cyberattacks can deliver, growing numbers of threat actors are actively seeking and
targeting
undiscovered security flaws. In this environment, many organizations are establishing Security
Operations
Centers (SOCs) to combat security issues as they arise, providing a swift response and a decisive
resolution." (https://media.kaspersky.com/en/business-security/enterprise/brochure-soc-powered-by-
kl-eng.pdf)
"À medida que as empresas aprendem a se proteger melhor, os criminosos estão simultaneamente
planejando cada vez mais
técnicas sofisticadas para penetrar em suas barreiras de segurança. Atraídos pelas recompensas
financeiras sem precedentes
que os ciberataques podem oferecer, um número crescente de atores de ameaças está ativamente
buscando e direcionando
falhas de segurança não descobertas. Nesse ambiente, muitas organizações estão estabelecendo
Centrais de Operações de Segurança
SOCs para combater os problemas de segurança à medida que surgem, fornecendo uma resposta
rápida e uma
resolução decisiva." (tradução livre)
3.1.6. É por meio dos SOCs que as organizações buscam, diante da velocidade desenfreada de
evolução das técnicas de invasão ou obtenção da informação, proteger suas informações, a vos,
recursos ou imagem. Em teoria os SOCs seriam a fronteira final entre a informação e o seu vazamento,
alteração ou destruição.
3.1.7. Um SOC funciona de forma con nua, atuando 24 horas por dia e 7 dias por semana,
com a responsabilidade de garan r a tríade CID de segurança da informação, sendo composto por
profissionais com conhecimentos específicos e de di cil obtenção seja pelo nível de dinamicidade que
a área de segurança possui no que diz respeito a atualizações ou elevado custo para obtenção do
conhecimento por meio de cursos e cer ficação. Diferentemente de uma área como redes de
computadores nos quais um modelo ou protocolos existem por anos sem modificação, os vetores de
ataques atualizam-se a cada novo patch implantado, a cada a vo inserido, a cada profissional
contratado em qualquer área, ou seja, a informação sempre está em risco e sem uma estrutura de
monitoramento voltada somente para área da segurança da informação, como um SOC, esse risco
aumenta consideravelmente.
3.1.8. Levando-se em consideração o modelo de arquitetura de segurança adapta va proposto
pelo Gartner, uma organização somente obterá sucesso na luta contra os crimes ciberné cos se seu
SOC for capaz de predizer, prever, detectar e responder efe vamente as ameaças, conforme podemos
visualizar na figura 1:
3.1.9. Percebe-se mais uma vez que sem uma estrutura dedicada à área de segurança da
informação é improvável que um organização consiga garan r esses quatro eixos: predição,
prevenção, detecção e resposta efe va. É possível que uma organização possa até responder, mas,
muitas vezes, não no momento adequado.
3.1.10. Outras estruturas ou modelos de segurança são u lizados visando complementar o
trabalho realizado por um SOC como equipes de Blue Team e Red Team, bem como o modelo de
Purple Team. De acordo com a SANS, uma autoridade mundial na área de segurança da informação,
temos as seguintes definições:
- Blue Team:
"[...] focus is to defend the organiza on from digital/cyber a acks. In truth, while
everything that improves the defensive security posture could be construed as Blue Team, there is an
overt emphasis on discovering and defending against attacks". (https://wiki.sans.blue/#!index.md)
"[...] focado em defender a organização de digital/cyber ataques. Na verdade, enquanto
tudo que promova a postura defensiva de segurança possa ser entendida como Blue Team, há uma
ênfase na descoberta e defesa contra esses ataques. " (Tradução Livre)
- Red Team:
"[...] would be those playing the role of the adversary. [...] So Red Team acts as Offense
and Blue Team as Defense." (https://wiki.sans.blue/#!index.md)
"[...] seriam aqueles que atuam o papel de adversários. [...] Então o Red Team atua
como ofensiva e Blue Team como defensiva." (Tradução Livre)
- Purple Team:
"[...] They typically report to a as a "third" team; think of it as a concept aimed at
bringing the red and blue teams together to create purple team exercises. Red teams and blue teams
should be encouraged to work as a joint team, to share insights beyond just repor ng, to create a
strong feedback loop, and to look for detec on and preven on controls that can realis cally be
implemented for immediate improvement. " (https://www.sans.org/purple-team?msc=ptcourse-faq-lp)
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 24
"[...] Eles se denominam como o 'terceiro' me; pense nisso como um conceito que visa
reunir as equipes vermelhas e azuis para criar exercícios de Purple Team. Equipes vermelhas e azuis
devem ser incen vadas a trabalhar como uma equipe conjunta, para compar lhar ideias além
somente gerar relatórios, a criar um forte ciclo de feedback, e a procurar controles de detecção e
prevenção que possam ser implementados realisticamente para melhoria imediata."(Tradução Livre)
3.1.11. Considerando as definições da SANS para Blue Team, Red Team e Purple Team,
podemos afirmar, simplificadamente que o Blue Team é o elo de defesa e sua operação, o Red Team
seria o ente de ataque o qual checa as defesas implementadas pelo Blue Team e o Purple Team seria
o esforço coordenado envolvendo os outros dois grupos visando garan r a real implementação dos
bloqueios a par r das vulnerabilidades apontadas no ataque, assim como, promover a melhoria
contínua das equipes.
3.1.12. Sendo esses conceitos mais abrangentes do que verdadeiramente uma equipe
propriamente dita, pode-se afirmar que o Blue Team está inserido em todos os eixos do modelo de
arquitetura do Gartner exibido na Figura 1, assim como, nas diversas responsabilidades do SOC.
Porém, o foco das equipes é mais preven vo e proa vo, enquanto o SOC encarrega-se mais
efetivamente da operação de monitoração e resposta, ou seja, reativo.
3.1.13. Em contrapar da um Network Opera ons Center - NOC, Centro de Operações de Rede
em tradução direta, é uma estrutura que funciona também de forma ininterrupta como um SOC, porém
com foco somente na disponibilidade. Um SOC e um NOC não se confundem em suas atribuições,
apesar de algumas vezes terem que operar em paralelo. Enquanto um SOC é responsável pela garantia
da tríade de segurança: confidencialidade, integridade e disponibilidade, um NOC concentra-se
apenas na disponibilidade sem considerar os aspectos de segurança, não sendo sua responsabilidade
em teoria. Um exemplo pode esclarecer melhor como num cenário onde se deseja disponibilizar um
sistema na Internet. Nesse cenário um NOC e um SOC concentrariam seus focos em responder
perguntas conforme a tabela 2:
Tabela 2 - Exemplo de perguntas NOC vs. SOC
Atributo a Atributo a
NOC SOC
garantir garantir
Qual a
O sistema será autenticado? Quais Disponibilidade
Disponibilidade demanda de
usuários podem acessá-lo? Quais perfis de Segurança,
da usuários esse
existirão? Há algum acesso fora do horário Integridade e
Infraestrutura sistema irá
normal? Confidencialidade
possuir?
3.1.14. Esses seriam alguns ques onamentos os quais um SOC e um NOC seriam responsáveis
por responder. Percebe-se claramente que o NOC concentra-se na disponibilidade do sistema em
termos u lização usual dos usuários enquanto o SOC, concentra-se na disponibilidade em termos de
segurança, assim como, na integridade e na confidencialidade.
3.1.15. É a par r desse cenário no qual se insere o Ministério da Jus ça e Segurança Pública -
MJSP. O Ministério da Jus ça e Segurança Pública possui um ambiente composto por uma diversidade
de tecnologias, pessoas que as acessam, sistemas, locais e informações que juntas elevam a
complexidade da gestão de segurança da informação.
3.1.16. No que diz respeito a diversidade de Tecnologias a tabela 3 apresenta um panorama
dos ativos que o MJSP tem sob sua gestão.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 25
1. Equipamentos e tecnologias utilizadas no MJSP 728
2. Total de estações de trabalho (14868691) 3.125
3. Total de usuários cadastrados no AD 5.460
4. Sistemas 217
6. Tecnologias de nuvem contratada Oracle e Microsoft 2
7. Total de chamados para janeiro e fevereiro 2021 - N3 - Segurança(14656980) 219
Figura 3 - End of Year Data Breach Report 2019 - Identity Theft Resource Center
3.1.24. No segmento governo, o método de ataque mais u lizado foi Hacking/Intrusion com
cerca de 42,2%, assim como, em todos os outros segmentos. Não se deve considerar o número de
violações de dados de forma absoluta, mas se deve levar em consideração a sensibilidade do dado
violado, não somente, o prejuízo financeiro imediato associado.
3.1.25. Diante do que foi exposto, é imprescindível para que o Ministério da Jus ça e
Segurança Pública possa prover a segurança dos dados e a vos presentes em todo seu parque
tecnológico que essa contração seja realizada com a maior brevidade possível.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 26
3.3.1. Foram realizados estudos acerca do cenário atual da necessidade no âmbito do
Ministério da Jus ça e Segurança Pública, considerando os requisitos das suas unidades e os a vos
atualmente instalados no parque computacional do órgão, conforme Estudo Técnico Preliminar. Os
itens e os respectivos quantitativos referem-se às necessidades do MJSP, apresentados na tabela 4.
Código
Métrica Regime
SIASG Descrição do Bem ou
Grupo Item Quantidade ou de
Serviço
Unidade operação
CATSER
1
Serviço de Tratamento e
Resposta aos Incidentes Unidade
2 26000 24 24x7
Cibernéticos - CSIRT - Blue (Mensal)
Team
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 27
Administração uma consecução mais econômica e vantajosa de seus fins; e serve, pois, como
instrumento de racionalização da a vidade administra va, por meio da redução de custos
financeiros, tecnológicos, operacionais, gerenciais, técnico-administra vos e da o mização da
aplicação de recursos. Isto é, fatores que se coadunam e se verificam na contratação ora
pretendida. Significa, portanto, que, nesse caso, a padronização elimina variações tanto no
tocante à seleção de so wares e componentes no momento da contratação, como também na
sua utilização, conservação, segurança e manutenção.
3.4.1.11. Desagrupar os itens 1 e 2 (Serviço de Security Opera ons Center - SOC e Serviço de
Tratamento e Resposta aos Incidentes Ciberné cos - CSIRT - Blue Team), nessa situação,
ocasionará prejuízos técnicos e operacionais, uma vez que se realizados por vários fornecedores,
exigiriam um tempo excessivo em dirimir divergências entre possíveis incompa bilidades ou
entendimentos e, causariam um potencial risco de operacionalização e funcionamento, pela
adoção de procedimentos variados, divergentes ou incompatíveis.
3.4.1.12. Conforme Acórdão nº 861/2013 - TCU - Plenário -, é lícito os agrupamentos em
lotes de itens a serem adquiridos por meio de pregão, desde que possuam mesma natureza e que
guardem relação entre si.
3.4.1.13. Segundo o Acórdão nº 5.260/2011 – TCU – 1ª câmara, de 06/07/2011, “Inexiste
ilegalidade na realização de pregão com previsão de adjudicação por lotes, e não por itens, desde
que os lotes sejam integrados por itens de uma mesma natureza e que guardem correlação entre
si”. O lote proposto nesse documento agrupa solução e serviços de uma mesma natureza, que
guardam correlação entre si, seja por similaridade técnica ou de tecnologia, bem como de
aplicabilidade em busca de uma única solução, sem causar qualquer prejuízo à competitividade.
3.4.1.14. Em suma, a opção pelo fornecimento e consequente adjudicação por grupo para os
itens 1 e 2 leva em conta a modalidade de contratação pretendida e os bene cios associados. O
agrupamento de vários itens num mesmo lote ou grupo não compromete a compe vidade do
certame, uma vez que várias empresas, que atuam no mercado, apresentam condições para cotar
todos os itens.
3.4.2. Justificativa para divisão em grupos
3.4.2.1. O serviço de Red Team tem como obje vo principal iden ficar, mapear e
documentar possíveis vulnerabilidades nos sistemas, processos e a vos de infraestrutura
tecnológica. Esses testes envolvem, necessariamente, o uso de técnicas e ferramentas
específicas para tentar obter acesso não autorizado e privilegiado aos a vos e informações, bem
como a indicação de soluções para a correção das vulnerabilidades encontradas.
3.4.2.2. Como responsável pelos ataques a empresa deve valer-se de sua exper se para
tentar a ngir um obje vo, realizando sofis cados testes de penetração e buscando pontos de
falha nos processos, pessoas e tecnologias que compõem as defesas atualmente em uso na
empresa para o cumprimento da missão.
3.4.2.3. A empresa estaria agindo como uma ameaça externa, que buscaria localizar
quaisquer vulnerabilidades possíveis de serem exploradas, obje vando, por exemplo, extrair
dados da localidade predeterminada. O foco em realmente “quebrar” a segurança implantada
deve dirigir a vontade do Red Team na busca por brechas de segurança, o que pode envolver as
mais diversas tá cas, desde a u lização de ataques spear phishing, ou até mesmo a simples
tática da utilização de pendrives infectados, deixados nos arredores da empresa.
3.4.2.4. Já a equipe do Blue Team, como mencionada anteriormente, também avalia a
segurança de rede e iden fica possíveis vulnerabilidades. Entretanto, o que o diferencia do Red
Team é o seu foco em detecção de ameaças e resposta de incidentes, ou seja, seu principal
objetivo é aplicar estratégias de defesa e manter a segurança dos sistemas e aplicações.
3.4.2.5. Eles também são os responsáveis por fortalecer toda a infraestrutura de segurança
digital, usando so wares como o IDS, que fornece uma análise con nua de a vidades comuns e
suspeitas. Assim, a principal função do Blue Team é detectar e prevenir controles de segurança.
3.4.2.6. Vale ressaltar que uma infraestrutura de segurança completa e eficaz, preparada
para qualquer ataque, só é possível com os dois grupos trabalhando juntos — um me
complementa o outro.
3.4.2.7. Idealmente estes mes devem ser composto por profissionais de empresas
diferentes, para que a equipe que venha a realizar os ataques, não tenha contribuído para a
estratégia de defesa atualmente aplicada pela outra equipe, pois isto poderia gerar um conflito
de interesses em relação aos testes, a par r da a tude de não querer buscar realmente, ou
mesmo expor, as fraquezas disponíveis na infraestrutura da corporação, e que não tenham sido
cobertas pelas defesas que ajudaram a implantar. Dificultando até possíveis futuras
auditorias. Nesse sen do, a empresa licitante vencedora do grupo 1 está automa camente
impedida de ser tornar vencedora do grupo 2 e a vencedora do grupo 2 não poderá ser a
vencedora do grupo 1.
3.4.2.7.1. Conforme entendimento da AGU, é vedada a contratação de uma mesma
empresa para dois ou mais serviços licitados, quando, por sua natureza, esses serviços
exigirem a segregação de funções, tais como serviços de execução e de avaliação,
mensuração ou apoio à fiscalização, assegurando a possibilidade de par cipação de todos
licitantes em ambos os itens seguindo-se a ordem de adjudicação entre eles (ou
lotes/grupos) indicada no subitem seguinte.
3.4.2.7.2. Será adjudicado primeiro o grupo 1 e posteriormente o grupo 2.
3.4.2.8. Segregação de funções refere-se a prá cas onde o conhecimento e/ou privilégios
necessários para se completar um processo são quebrados e divididos entre múl plos usuários
de forma que apenas um seja capaz de executá-lo ou controla-lo sozinho. A principal razão de se
aplicar a segregação de funções é prevenir a realização e ocultação de fraude e erro no curso
normal das a vidades, uma vez que havendo mais de uma pessoa ou empresa para realizar uma
a vidade se minimiza a oportunidade de transgressões e aumenta as chances de se detectá-la,
assim como de se detectar erros não intencionais.
3.4.2.9. A ISO 27001 considera a segregação de funções um dos potenciais controles a
serem aplicados para controlar a implementação e operação da segurança da informação dentro
da organização. O controle da norma requer que a vidades e áreas de reponsabilidade
conflitantes sejam segregadas de forma a reduzir o risco de um acesso não autorizado a um a vo
ou uma modificação ou mau uso não intencional.
3.4.2.10. Ademais, de acordo com o art. 8º da Lei 8.666/1993, as contratações devem ser
programadas no todo, coerente com o conceito de solução de TI conforme exposto no guia de
boas prá cas em contratação de soluções TI do TCU e na IN 01 de 2019 - SGD. Entretanto, de
acordo com o § 1º do art. 23 da Lei 8.666/1993, como regra, as contratações devem ser divididas
em tantas parcelas quanto possível, desde que seja técnica e economicamente viável. Em suma,
deve-se planejar a solução como um todo, mas deve-se dividi-la em tantos objetos quanto
possível para fins de contratação, de modo a ampliar a competitividade nas contratações.
3.4.2.11. Neste sen do, a Súmula TCU nº 247 dispõe que é obrigatória a admissão da
adjudicação por item e não por preço global, nos editais das licitações para a contratação de
obras, serviços, compras e alienações, cujo objeto seja divisível, desde que não haja prejuízo
para o conjunto ou complexo ou perda de economia de escala, tendo em vista o obje vo de
propiciar a ampla par cipação de licitantes que, embora não dispondo de capacidade para a
execução, fornecimento ou aquisição da totalidade do objeto, possam fazê-lo com relação a itens
ou unidades autônomas, devendo as exigências de habilitação adequar-se a essa divisibilidade.
3.4.3. Justificativa para o agrupamento para itens 3 e 4
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 28
3.4.3.1. Conforme explicado no item Jus fica va para divisão em grupos, o serviço de Red
Team tem como obje vo principal iden ficar, mapear e documentar possíveis vulnerabilidades nos
sistemas, processos e a vos de infraestrutura tecnológica. Nesse sen do, percebe-se que o Red Team
pode executar vários pos de testes de invasão e, inclusive, vários deles podem ser u lizados em um
mesmo procedimento como:
3.4.3.1.1. Web: realiza testes de vulnerabilidades e exploração em ambientes e aplicações
WEB;
3.4.3.1.2. Mobile: testa vulnerabilidades e exploração em aplica vos e sistemas
operacionais para dispositivos moveis;
3.4.3.1.3. Rede: focado em explorar a infraestrutura de rede;
3.4.3.1.4. Wireless: nesse po de teste é examinada a rede sem fio u lizada no ambiente,
focando em pontos de acessos, protocolos e credenciais administrativas;
3.4.3.1.5. Físico: os controles de acessos ao ambiente são testados, mapeando fraquezas aos
recursos físicos da empresa;
3.4.3.1.6. Engenharia Social: o foco é testar os próprios colaboradores, u lizando técnicas
psicológicas para tentar induzi-los a passar informações importantes;
3.4.3.1.7. Estresse (DDos): verifica a disponibilidade de uma aplicação suportar uma alta
demanda de requisições;
3.4.3.1.8. Externo: realizado a partir da Internet;
3.4.3.1.9. Interno: normalmente alocado no cliente.
3.4.3.2. A Tabela 12, do Estudo Técnico Preliminar, Anexo I-M, demonstra que um alvo é um
a vo, o qual pode ser um sistema, appliance de segurança, a vo de rede, dentre outros. Nesse
contexto, considera-se que um sistema possui em média dez ativos. Dessa forma, nota-se similaridade
e complementariedade entre os itens 3 e 4 do grupo 2, uma vez que, para efeitos desta contratação,
ambos são considerados alvos. Sendo que o item 4 (Serviço de Teste de Invasão - Red Team:
Infraestrutura) cons tui um serviço a ser realizado em um único alvo, enquanto que o item 3 (Serviço
de Teste de Invasão - Red Team: Sistemas Web) cons tui um serviço que pode contemplar múl plos
alvos.
3.4.3.3. Assim, resta caracterizado que os serviços de teste de invasão em a vos de
infraestrutura e em sistemas web são similarmente idên cos e diferenciam-se apenas pela
complexidade e tempo necessários para em sua execução, razão pela qual foram separados em itens
diferentes, o que possibilitará ao Ministério avaliar suas defesas ciberné cas a um custo compa vel
com o esforço para a respectiva execução.
3.4.3.4. Além disso, a equipe de planejamento avalia que o não agrupamento dos itens 3 e 4
levaria um parcelamento inadequado do objeto porque tais itens cons tuem-se, em essência, o
mesmo objeto sendo requeridas empresas segmentadas na mesma especialização para a execução
desses serviços. Desse modo, o parcelamento poderia ocasionar uma licitação com poucos
fornecedores interessados pelo item 4, com consequente aumento dos valores contratados em
comparação à compra agrupada dos itens, considerando que o item 4 por ser um serviço de baixa
complexidade tende a ter um valor menor para sua execução.
3.4.4. Justificativa para não participação de consórcios e cooperativas
3.4.4.1. Não será permi da a par cipação de empresas que es verem reunidas em
consórcio, assim como não será permi da a par cipação de coopera vas, qualquer que seja sua
forma de cons tuição, dadas as caracterís cas específicas da contratação dos produtos a serem
fornecidos, uma vez que, dadas as caracterís cas específicas da contratação. Com vistas a
subsidiar o entendimento a respeito da par cipação de consórcios em licitações públicas,
transcrevemos, abaixo, comentário do Professor Marçal Justen Filho sobre o assunto:
...A complexidade dos objetos licitados determina a natureza do consórcio.
Usualmente, há consórcios heterogêneos quando a execução do objeto pressupõe
mul plicidade de a vidades empresariais dis ntas. Isso se passa especialmente no
tocante a concessões de serviço público. Nesses casos, a ausência de permissão de
consórcios produziria enormes dificuldades para par cipação no certame. Configura-
se hipótese em que admi r par cipação de consórcios é imprescindível, sob pena de
inviabilizar a compe ção. (Justen Filho, Marçal, Comentários à lei de licitações e
contratos administrativos. 11ª ed. São Paulo: Dialética,2005. p. 360).
3.4.4.2. Desta forma, resta claro que a par cipação de consórcios em certames licitatórios
somente se torna “obrigatória” quando o objeto a ser licitado pressuponha heterogeneidade de
a vidades empresariais, sendo que, sua não inclusão, resultaria em restrição da compe vidade.
Assim, a Administração Pública ao vedar a participação de consórcio procura manter a unidade do
sistema, eis que o Termo de Referência, da forma como foi concebido demonstra a existência de
uma unidade conceitual que perpassa todo o projeto. Tal integração de conceitos se verifica não
só entre suas etapas, como também nos serviços previstos em cada etapa. Isto porque cada
serviço solicitado representa uma preparação para que o serviço subsequente possa ser
compreendido e elaborado. Vale dizer que somente a empresa que es ver envolvida e for
responsável pela totalidade do objeto será conhecedora, de forma suficiente, de todas as
questões per nentes, estando apta a apresentar os serviços de forma encadeada. A opção pela
par cipação ou não de empresas em consórcios encontra-se na esfera da discricionariedade
administra va, a qual contempla o exame da conveniência e oportunidade do ato administra vo.
Se o ato é vinculado, é porque o legislador pré-estabeleceu o que não ocorreu no caso presente.
No caso em questão, a lei não estabelece disposição expressa exigindo a admissão de
consórcios, mas deixa ao administrador a possibilidade de verificar as hipóteses em que este
seria admissível, o que se depreende do art. 33, caput, da Lei nº. 8.666/93: “Quando permi da na
licitação a participação de empresas em consórcio (...)”.
3.4.4.3. Não obstante, o objeto a ser contratado é amplamente comercializado por diversas
empresas no mercado. Tal permissibilidade poderia causar dano à administração por frustrar o
próprio caráter competitivo da disputa pelo menor preço.
3.4.5. Jus fica va para impedimento da empresa responsável pelo serviço de service desk
e sustentação de infraestrutura de TI
3.4.5.1. O principal obje vo da empresa responsável pelo serviço de service desk e
sustentação de infraestrutura do Ministério é manter o pleno funcionamento dos recursos e
serviços do ambiente de TIC e melhorar a qualidade dos serviços prestados aos seus usuários,
conforme consta no Termo de Referência do Contrato 40/2019. Assim, sua prioridade é garan r a
disponibilidade de acordo com os níveis estabelecidos. Importante frisar que por meio desse
contrato é disponibilizado um serviço de NOC.
3.4.5.2. Os serviços de SOC e NOC não se confundem em suas atribuições, uma vez que um
SOC é responsável pela garan a da tríade de segurança: confidencialidade, integridade e
disponibilidade. Por outro lado, a empresa responsável pelo serviço de service desk e sustentação
de infraestrutura de TI (NOC), concentra-se apenas na disponibilidade, sem considerar os
aspectos de segurança.
3.4.5.3. Na prá ca, a função do NOC é considerada operacional, enquanto o SOC possui
impacto estratégico no negócio. Desta forma, a operação e gerenciamento de ambos os serviços
são diferentes. Enquanto o NOC trabalha para impedir tempos de ina vidade prolongados, que
podem facilitar a infestação por malwares e monitora con nuamente a funcionalidade da rede,
evitando que os usuários experimentem len dão no acesso a internet, por exemplo. Em
comparação, o SOC tende a ser mais visível, sua função é prevenir e responder a incidentes de
segurança ciberné cos. Por ser altamente especializado, um SOC deve se concentrar
inteiramente no monitoramento e gerenciamento de estratégias de segurança.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 29
3.4.5.4. Conforme explicitado anteriormente, os serviços do SOC e do NOC não são
conflitantes, uma vez que o NOC foca na disponibilidade e o SOC além da disponibilidade foca
também na confidencialidade e integridade. Desse modo, percebe-se que um complementa os
serviços do outro. Portanto, não há impedimento da par cipação da empresa responsável pela
empresa de serviço de service desk de sustentação de infraestrutura de TI de par cipar do
certame no que se refere ao Grupo 1.
3.4.5.5. Por outro lado, a empresa prestadora de serviço atual de service desk
e sustentação de infraestrutura de TI fica impedida de par cipar do Grupo 2 - serviço de Red
Team, pois os obje vos são conflitantes. Enquanto o obje vo de uma empresa é manter a
disponibilidade, o da outra é encontrar brechas e falhas segurança nos serviços prestados,
so wares e hardwares configurados pela primeira. Nessa perspec va, a ISO 27001 considera a
segregação de funções como um controle a ser aplicado para reduzir o risco. Logo, observa-se,
nesse caso, justificativa similar àquela descrita no item Justificativa para divisão em grupos.
3.4.5.6. Portanto, resta demonstrado, o impedimento da empresa prestadora de serviço
atual de service desk e sustentação de infraestrutura de TI do Ministério de participar do presente
pregão para o grupo 2.
3.5. Resultados e Benefícios a Serem Alcançados
3.5.1. Com a contratação de um Security Opera ons Center - SOC - com suporte 24h por dia e
7 dias, Blue Team, Red Team irá possibilitar ao Ministério da Jus ça e Segurança Pública perseguir os
seguintes resultados:
3.5.1.1. Redução de riscos associados a perda de dados, comprome mento dos sistemas,
imagem institucional do ministério e do governo brasileiro.
3.5.1.2. Maior asser vidade nos inves mentos em soluções de segurança da informação
efetivamente necessárias.
3.5.1.3. Redução dos riscos associados aos ativos críticos.
3.5.1.4. Aumento da maturidade de segurança da informação.
3.5.1.5. Economia de tempo e redução da complexidade, iden ficando e saneando a
segurança da informação antes da implantação dos sistemas.
3.5.1.6. Aumentar a segurança dos seus ativos eliminando os pontos cegos.
3.5.1.7. Desenvolvimento de relatórios e apurações especiais; e painéis gerenciais para
apoio à tomada de decisão dos gestores, quanto ao risco da instituição.
3.5.1.8. Garan r a segurança da informação e comunicação no âmbito do Ministério da
Justiça e o sigilo das informações dos cidadãos.
3.5.1.9. Implantar e fortalecer as equipes de tratamento de incidentes ciberné cos nas
redes de computadores.
3.5.1.10. Implantar ações que promovam o envolvimento da alta administração do órgão em
relação às diretrizes e ações de Segurança da Informação e Comunicação.
3.5.1.11. Definir e implantar mecanismos mais efe vos de responsabilização de
colaboradores por eventos relacionados à Segurança da Informação e Comunicação.
3.5.1.12. Contribuir para o aumento da capacidade de resiliência dos a vos de informação e
das infraestruturas críticas.
3.5.1.13. Instituir práticas de auditoria de Segurança da Informação e Comunicações.
3.5.1.14. Atualizar a Política de Segurança da Informação e Comunicações.
3.5.1.15. Manter uma equipe ininterrupta de resposta rápida e efe va a ataques e
incidentes cibernético .
3.5.1.16. Implantar o estado da arte em termos de segurança da informação.
3.5.1.17. Multiplicar o efetivo na área de segurança da informação.
3.5.1.18. Elevar o conhecimento técnico e a capacidade de gestão do corpo técnico próprio
do Ministério da Justiça.
3.5.1.19. Obter uma melhor compreensão da real situação em termos de segurança da
informação do Ministério da Justiça de forma periódica por meio de um Red Team.
4. ESPECIFICAÇÃO DOS REQUISITOS DA CONTRATAÇÃO
4.1. Requisitos de Negócio
4.1.1. Garan r a con nuidade dos negócios do Ministério da Jus ça e Segurança Pública e
manter a capacidade de atendimento às áreas de negócio do Ministério, que dependem das soluções
de tecnologia da informação.
4.1.2. Garan r o gerenciamento con nuo de controles de segurança da informação no
ambiente do Ministério da Jus ça e Segurança Pública. Reduzindo os riscos relacionados a perda de
dados, comprometimento dos sistemas, ativos críticos e imagem institucional do Ministério.
4.1.3. Fornecer às unidades de negócio do Ministério da Jus ça e Segurança Pública e à
sociedade soluções tecnológicas que agreguem valor ao negócio e atendam às necessidades do
cidadão no fornecimento de informações e serviços disponibilizados com segurança, qualidade e
eficiência.
4.1.4. Aprimorar mecanismos de gestão e de disseminação do conhecimento com foco em
segurança da informação. Aumentando a maturidade em segurança da informação.
4.1.5. Aprimorar e integrar a gestão e a governança ins tucional com o fortalecimento das
equipes de tratamento de incidentes de segurança e com a ins tuição de prá cas de conformidade e
auditoria de Segurança da informação e comunicação.
4.1.6. Aprimorar e integrar a gestão da segurança da informação no âmbito do Ministério da
Justiça e Segurança Pública.
4.1.7. Para um melhor entendimento foi definido um diagrama de relacionamento dos serviços
e seus respec vos componentes, objeto da presente contratação, com os demais serviços da DTIC
adaptado de acordo com o Framework para implementar um SOC de Schinagl, S., Schoon, K., & Paans,
R. (2015). O framework for designing a security opera ons centre (SOC). Proceedings of the Annual
Hawaii Interna onal Conference on System Sciences, 2015-March, 2253–2262.
https://doi.org/10.1109/HICSS.2015.270.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 30
Figura 4 - Diagrama de relacionamento dos serviços e seus respectivos componentes com os demais serviços
da DTIC.
4.1.8. Na Figura 4 é apresentado o diagrama de interação, para a presente contração, entre o
MJSP representado pela Diretoria de Tecnologia da Informação e Comunicação - DTIC e a Coordenação
de Riscos e Segurança da Informação - CRS com o papel de gestores estratégicos, tá cos e
operacionais com a Infraestrutura de TIC do MJSP e os serviços de SOC, de Tratamento e Resposta a
Incidentes Cibernéticos e de Red Team.
4.1.8.1. A DTIC com o papel de Governança e Controle atuando na gestão estratégica
realizando a conformidade e função:
4.1.8.1.1. Missão da Instituição;
4.1.8.1.2. Objetivos de Governança;
4.1.8.1.3. Segurança da Organização;
4.1.8.1.4. Objetivos de Segurança;
4.1.8.1.5. CIO (Chief Information Officer);
4.1.8.2. A CRS com o papel de Segurança atuando na gestão tá ca e operacional e
realizando conformidade e funções:
4.1.8.2.1. Análise de Risco;
4.1.8.2.2. Dashboards;
4.1.8.2.3. Tolerância ao Risco;
4.1.8.2.4. Requisitos de Segurança;
4.1.8.2.5. Pentest;
4.1.8.2.6. CISO (Chief Information Security Officer);
4.1.8.2.7. Intermediando as ações de aprovação e autorizações das requisições entre o
CSIRT e SOC com a Infraestrutura de TIC do MJSP;
4.1.8.3. Os Serviços de Security Opera ons Center - SOC,Serviço de Tratamento e
Resposta a Incidentes Ciberné cos - CSIRT - Blue Team e Serviço de Testes de Invasão - Red
Team executando de forma colabora va e integrada e conforme o framework de segurança
ciberné ca (CSF) do NIST para SOC e CSIRT, Computer Security Incident Response Team (CSIRT)
Services Framework para o CSIRT, bem como OSSTMM 3, ISSAF/PTF, NIST SP 800-115 e 800-42 e
OWASP TB 4.1 para o Red Team, com os papeis:
4.1.8.3.1. Inteligência - através da equipe de especialistas Blue Team do CSIRT com as
funções de Análise especificas de inteligência e de incidentes ciberné cos de acordo com
os Padrões de Ataques;
4.1.8.3.2. Forense - através da equipe de especialistas Blue Team com as funções de
Análise de Logs e Investigação;
4.1.8.3.3. Segurança Básica - através da equipe de analistas do SOC com as funções de
Escaneamento de conformidade e vulnerabilidade;
4.1.8.3.4. Monitoramento - através da equipe de analistas do SOC com as funções de
Observação e Coleção e Seleção de Logs dos alertas de eventos e realizando a ajustes
devidos de regras da Plataforma de SIEM/SOAR/NTA/UEBA/CTI do MJSP.
4.1.8.3.5. "Pentest" - através da equipe de especialistas Red Team com a função de
Testes de invasão.
4.1.8.4. Infraestrutura de TIC do MJSP executando a sustentação do parque computacional
com os papeis e componentes:
4.1.8.4.1. Suporte N1, N2 e N3 - através de equipe técnica terceirizada.
4.1.8.4.2. Aplicação de polí cas, patching e ho ix de sugestões emanadas do CSIRT,
SOC e Red Team, aprovadas pela área de segurança.
4.1.8.4.3. NOC - através de equipe técnica com a monitoramento da infraestrutura de
TIC.
4.1.8.4.4. Plataforma de SIEM/SOAR/NTA/UEBA/CTI do MJSP com um consumo
aproximado de 200 GB/dia de eventos sendo:
4.1.8.4.4.1. Logs de ambientes em Nuvem (Azure e Oracle Cloud);
4.1.8.4.4.2. IDS Alertas e Logs de ativos de segurança;
4.1.8.4.4.3. NetFlow/ SFlow Logs;
4.1.8.4.4.4. Logs de auditoria (Sistemas, serviços, servidores e endpoint);
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 31
4.1.9. A solução será composta por 4 (quatro) itens de serviço integrados, sendo todos
executados no ambiente tecnológico das CONTRATADAS ou presencialmente quando necessário;
4.1.9.1. Serviço de Security Operations Center - SOC
4.1.9.1.1. Serviço de Security Opera ons Center - SOC em regime operação de 24
horas por 7 dias por semana ininterruptos;
4.1.9.2. Serviço de Tratamento e Resposta aos Incidentes Ciberné cos - CSIRT - Blue
Team em regime operação de 24 horas por 7 dias por semana ininterruptos;
4.1.9.3. Serviço de Testes de Invasão - Red Team: Sistemas W EB e Serviço de Teste de
Invasão - Red Team: Infraestrutura, atendimento sob demanda;
4.1.9.4. O Serviço de Security Opera ons Center - SOCe o Serviço de Tratamento e
Resposta aos Incidentes Ciberné cos - CSIRT - Blue Team atuarão em conjunto e envolve os
seguintes serviços, conforme Informa on Technology Infraestructure Library – ITIL e as
atividades dos processos do volume de Transição de Serviços e Operação de Serviços;
4.1.9.4.1. Gerenciamento de Configurações e de Ativo de Serviços;
4.1.9.4.2. Gerenciamento de Mudanças;
4.1.9.4.3. Gerenciamento de Liberações e Implantação;
4.1.9.4.4. Gerenciamento do Conhecimento;
4.1.9.4.5. Gerenciamento de Evento;
4.1.9.4.6. Gerenciamento de Incidente;
4.1.9.4.7. Gerenciamento de Problema;
4.1.9.4.8. Gerenciamento de Requisição;
4.1.9.4.9. Gerenciamento de Acesso;
4.1.9.4.10. Desempenhar atividades de 3º nível de Operação de Serviços das funções:
4.1.9.4.10.1. Central de Serviços;
4.1.9.4.10.2. Gerenciamento de Operações de TI (Controle de Operações de
Segurança da Informação);
4.1.9.4.10.3. Gerenciamento Técnico;
4.1.9.4.10.4. Gerenciamento de Aplicação;
4.1.9.4.11. Ambos os serviços desempenharão os seguintes objetivos e propósitos:
4.1.9.4.11.1. Gerenciar a capacidade e recursos requeridos para empacotar,
construir, testar e implementar as liberações no ambiente de produção.
4.1.9.4.11.2. Estabelecer e manter a integridade dos a vos de serviços e suas
configurações.
4.1.9.4.11.3. Prover conhecimento de qualidade para a organização.
4.1.9.4.11.4. Prover mecanismos de implementação eficientes e padronizados.
4.1.9.4.11.5. Garan r que os serviços possam ser gerenciados, operados e
suportados conforme os requisitos definidos.
4.1.9.4.11.6. Realizar as a vidades e processos necessários para garan r o
gerenciamento e a entrega dos serviços conforme níveis de serviços aqui definidos.
4.1.9.4.11.7. Gerenciar con nuamente a tecnologia em uso para entregar e suportar
os serviços.
4.1.9.4.11.8. Melhorar a percepção de qualidade e a sa sfação de usuários e
clientes quanto ao uso dos serviços do MJSP.
4.1.9.4.11.9. Prover mecanismos eficientes para tratamento das questões rela vas
ao dia-a-dia dos serviços.
4.1.9.4.12. Monitoramento e Análise de toda a infraestrutura do Ministério, u lizando-
se de análise dos logs disponibilizados em tempo real através da Plataforma de
SIEM/SOAR/NTA /UEBA/CTI do Ministério. Para o devido dimensionamento do esforço de
trabalho necessário a Contratada deverá es mar um quan ta vo mínimo de pessoal capaz
de monitorar, analisar, operar e acompanhar a Plataforma de SIEM/SOAR/NTA/UEBA/CTI
para um volume de no mínimo 200 GB/dia e 5000 EPS (Despacho nº 333, nº
SEI 14781049). O cálculo do valor de EPS foi es mado u lizando a ferramenta LogPoint e
distribuição realizada no Despacho 80 (nº SEI 14612910) com alteração nas quan dades
existentes.
4.1.9.4.13. Prestação de informações e realização de demandas através de chamados
técnicos do ministério, sob autorização e controle da CRS.
4.1.9.4.14. Apoiar a CRS na elaboração de minuta de comunicação à Autoridade
Nacional de Proteção de Dados (ANPD) quanto ao registro de incidentes junto ao
Ministério, de acordo com o Art. 48 da LGPD .
4.1.9.4.15. Apoiar a CRS na elaboração de minuta de comunicação à Autoridade Policial
quanto ao registro de incidentes com classificação de crimes ciberné co junto ao
Ministério.
4.1.9.4.16. Configurar, com a supervisão da CRS, a Plataforma de
SIEM/SOAR/NTA/UEBA/CTI do Ministério de acordo com os mecanismos de retenção e
guarda de registros de conexão, nos termos da Lei 12.965/2014 que estabeleceu os
princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
4.1.9.4.17. Apoiar a CRS na realização de ações para registro e cadastramento para a
inclusão do CSIRT do MJ no Grupos de Segurança e Resposta a Incidentes
(CSIRTs) Brasileiros, junto ao Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança - CERT.BR e junto à Rede Federal de Gestão de Incidentes Cibernéticos.
4.1.9.4.18. Apoiar a CRS na divulgação de ações de segurança da informação (Alertas,
Conscien zação e Recomendações) aos usuários finais, equipes de TIC e aos gestores com
o obje vo de fortalecer uma estrutura para projetar, implementar, monitorar, manter e
melhorar a segurança da informação consistente com a cultura organizacional, conforme
preceitua a ABNT NBR ISO/IEC 27000, bem como para acompanhamento e avaliação dos
indicadores de performance e serviços de SOC e CSIRT pelos gestores de TIC do Ministério
a CONTRATADA deverá desenvolver e manter um Portal W EB de CSIRT do Ministériopara
a disponibilização de tais informações, como também informações para registro de
no ficações por usuários externos ao Ministério com uso de tecnologias seguras, definidas
pela CRS com apoio da Contratada, para comunicações através de canal seguro.
4.1.9.4.19. A CONTRATADA ficará, durante a vigência contratual do presente objeto,
incumbida de realizar parametrizações, customizações e manutenções na Plataforma de
SIEM/SOAR/NTA/UEBA/CTI do Ministério. Atualmente, a ferramenta implantada e em
u lização, é a Azure Sen nel do fabricante Microsoft. Caso o Ministério opte por outra
solução a mesma deverá ser absorvida pela CONTRATADA sem ônus para a
CONTRATANTE.
4.1.9.4.20. A CONTRATADA poderá u lizar as ferramentas de Vulnerabilidades em
a vos de rede e aplicações Web disponíveis no Ministério. A CONTRATADA também
poderá u lizar outras ferramentas de Vulnerabilidades, se julgar necessário, ou para
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 32
complementar as ferramentas disponíveis, desde que não tenha custos para a
CONTRATANTE.
4.1.9.5. O Serviço de Teste de Invasão - Red Team envolve os seguintes serviços,
conforme Informa on Technology Infraestructure Library – ITIL e as a vidades dos processos do
volume de Transição de Serviços e Operação de Serviços;
4.1.9.5.1. Gerenciamento do Conhecimento;
4.1.9.5.2. Gerenciamento de Incidente;
4.1.9.5.3. Gerenciamento de Problema;
4.1.9.5.4. Gerenciamento de Requisição;
4.1.9.5.5. Desempenhar atividades de 2º e 3º nível de Operação de Serviços das funções:
4.1.9.5.5.1. Central de Serviços;
4.1.9.5.6. Serviços de Red Team desempenharão os seguintes objetivos e propósitos:
4.1.9.5.6.1. Prover conhecimento de qualidade para a organização.
4.1.9.5.6.2. Realizar as a vidades e processos necessários para garan r o
gerenciamento e a entrega dos serviços conforme níveis de serviços aqui definidos.
4.1.9.5.7. A Ordem de Serviço estabelecerá o prazo para execução por a vo de serviços de
teste de invasão - Red Team: sistemas web, o qual não será inferior a 1 semana nem
ultrapassará 4 semanas.
4.1.9.5.8. A Ordem de Serviço estabelecerá o prazo para execução por a vo de serviços de
teste de invasão - Red Team: infraestrutura, o qual não será inferior a 1 dia nem ultrapassará 1
semana.
4.1.9.6. Para os serviços de SOC e BLUE TEAM, a CONTRATADA deverá
disponibilizar ferramenta de ITSM (Informa on Technology Service Management) para registro,
acompanhamento e controle dos Incidentes e Requisições de Segurança e gerir todo o ciclo de
vida dos chamados. Para os serviços de RED TEAM, a CONTRATADA deverá disponibilizar
ferramenta on line que permita o acompanhamento das Ordens de Serviço e de seus
atendimentos, contendo os resultados detalhados dos serviços de teste de invasão.
4.1.9.6.1. As CONTRATADAS deverão fornecer licenças da ferramenta de ITSM e da
ferramenta on line em número suficiente para o gerenciamento das demandas de TIC da
CONTRATANTE.
4.1.9.6.2. Os eventuais custos de licenciamento dessas ferramentas ficarão ao
encargo exclusivo da CONTRATADA.
4.1.9.6.3. Todo processo, base de dados, aprendizado e documento produzido em
decorrência da prestação dos serviços será de propriedade da CONTRATANTE.
4.1.9.6.4. Caso a ferramenta seja proprietária, deverá ser fornecida a base de dados
em formato aberto, de forma a ser possível efetuar a visualização dos chamados e dos
históricos de atendimento.
4.1.9.6.5. Promover a transição contratual com transferência da base de dados de
conhecimento, da tecnologia e das técnicas empregadas, sem perda de informações,
capacitando ao término do contrato, se solicitado, os servidores da CONTRATANTE ou
quem por ele for indicado.
4.1.9.6.6. Ao final do contrato, a CONTRATADA promoverá a transição contratual com
transferência das bases de dados das ferramentas utilizadas, com todos os dados, inclusive
históricos das demandas, solicitações, atendimentos e demais informações rela vas à
prestação de serviços deverão ser entregues e permanecerão sob custódia exclusiva do
Ministério e capacitará ao término do contrato, se solicitado, os servidores da
CONTRATANTE ou quem por ele for indicado.
4.1.9.7. A CONTRATANTE poderá incluir novas a vidades correlatas (atualização ou novas
tecnologias da infraestrutura) que englobem as a vidades de evolução da infraestrutura, para
atendimento de ajustes, implantação de novas tecnologias, melhorias ou necessidades
específicas no ambiente tecnológico do Ministério. As atualizações de a vidades serão feitas
através de solicitações específicas formalizadas pela CONTRATANTE. As novas a vidades devem
atender aos mesmos indicadores de níveis de serviço mínimos e requisitos obrigatórios previstos
neste termo.
4.1.9.8. Para um melhor entendimento das responsabilidades a serem executadas pelos
serviços objeto da presente contratação, foi definido uma Matriz de Responsabilidade R.A.C.I
apresentado a seguir, a qual esta alinhada com a Figura 04 - Diagrama de relacionamento dos
serviços e seus respec vos componentes com os demais serviços da DTIC e envolve todos os
atores com participação no SOC e na Área de Segurança Cibernética;
Tabela 5 - Matriz de Responsabilidade R.A.C.I - Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério e Área de Segurança da Cibernética
Matriz de Responsabilidade R.A.C.I - Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério e Área de Segurança da Cibernética
Transição de Serviços Operação de Serviços
Serviços
Processos Processos Funções
Ger. de Ger. de
Ger. Ger. Central Ger. de
Configurações Ger. de Liberações Ger. do Ger. de Ger. de Ger. de Ger. Ger. de
Situação Descrição de de de Operações
e de Ativo de Mudanças e Conhecimento Incidente Problema Requisição Técnico Aplicação
Evento Acesso Serviços de TI
Serviços Implantação
Solução de SOC C/I C/I C/I C/I R/C/I R/C/I R/C/I R/C/I C/I C/I C/I C/I C/I
Nova
Serviços de CSIRT Blue Team R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I
contratação
Serviços de Red Team - - - R/C - R/C R/C R/C/I - R/C/I - - -
Contratação Serviço de NOC C/I C/I C/I C/I C/I C/I C/I C/I C/I C/I C/I C/I C/I
existente Serviços de Infraestrutura R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I R/C/I
Contratante MJSP\DTIC\CRS A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I A/C/I
Legenda:
R: Responsável por executar uma atividade;
A: Autoridade, quem responde pela atividade, o dono
C: Consultado, quem deve ser consultado e participar da decisão ou atividade no momento que for executada;
I: Informado, quem deve receber a informação de que uma atividade foi executada;
Obs.: As atividades da nova contratação são junto a Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério (item 4.1.8.3.4) e não conflitará com as atividades
da contratação existente, pois a mesma, atuará de forma subsidiária ao contrato existente quando da necessidade de ações junto a Área de Segurança Cibernética,
conforme definido no item 4.1.8.4.1.
4.1.10. A matriz RACI referente a tabela 5 poderá ser modificada sempre que a
CONTRATANTE avaliar como necessária, respeitando os limites definidos neste termo de
referência.
4.1.11. Indicadores de performance do Serviço de Security Operation Center - SOC
4.1.11.1. A frequência de aferição dos indicadores de performance será mensal,
porém com registros diários quando aplicável, devendo a contratada elaborar Relatório
Mensal de A vidades, apresentando-o ao Ministério até o quinto dia ú l do mês
subsequente ao da prestação do serviço.
4.1.11.2. Devem constar desse relatório, entre outras informações, as
vulnerabilidades encontradas com as respec vas correções/mi gações sugeridas, riscos,
ameaças, alertas, incidentes, indicadores de performance, metas de níveis de serviço
alcançados, recomendações técnicas, administra vas e gerenciais para o próximo período
e demais informações relevantes para a gestão contratual. O conteúdo detalhado e a forma
do relatório gerencial serão definidos pelas partes.
4.1.11.3. Caberá à Comissão de Fiscalização do contrato analisar mensalmente o
Relatório Mensal de A vidades executados pela Contratada, observando os indicadores e
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 33
os níveis de serviço alcançados.
4.1.11.4. Os indicadores de performance são flexíveis em quan dade e qualidade e
abrangem, mas não se limitam, os que estão descritos na tabela a seguir:
Tabela 6 - Indicadores de Performance do Serviço SOC
Categoria Subcategoria Métrica Unidade de medida
Quantidade de violações de políticas número
Conformidade
Porcentagem de sistemas com controles de segurança testados percentual
Privacidade Quantidades de incidentes notificados a ANPD número
Governança Avaliação da Maturidade do CSIRT de acordo com o "ENISA CSIRT maturity assessment model Nível e percentual de
CSIRT
versão 2.0 - 30 de abril de 2019" evolução
Automação/Orquestração dos processos continuidade de negocio e resposta a incidentes Nível e percentual de
Orquestração
cibernéticos evolução
Nível de segurança Classificação de cores
Ameaças
Atribuição de ameaças a atores (usando inteligência de ameaças) a definir
Tempo para remediação da vulnerabilidade tempo
Gravidade da vulnerabilidade escala
Vulnerabilidade
Incidentes de vulnerabilidade conhecida vs. desconhecida número/escala
Exposição à vulnerabilidade escala
Posição de risco escala
Risco por sistema/serviço escala
Risco
Principais riscos texto
Tipos de casos (MITRE ATT&CK) número
Tempo por investigação de alerta tempo
Índice de geração de alerta número/escala
Alerta
Número de alertas que permanecem por analisar (em aberto) número
Técnico
Criticidade de um alerta escala
Prioridade de incidentes texto
Total de incidentes por mês número
Número de ataques bem sucedidos número/percentual
Incidente Tempo médio de detecção (MTTD) tempo
Tempo médio para resolução/recuperação (MTTR) tempo
Custo por incidente valor/texto
Sucesso na mitigação número/percentual
Tempo médio gasto por ataque (MTTA) tempo
Eficiência defensiva escala
Resiliência Repercussão do ataque texto
Quantidade de interrupções número e percentual
Tempo de interrupções tempo
Número de incidentes encerrados em um turno número
Pessoas Performance
Análise de escalação de caso número
Taxa de falso positivo percentual
Performance Tempo médio de analise tempo
Gerais Nível de disponibilidade da infraestrutura de SOC percentual
Quantidade de ativos monitorados número
Cobertura
Quantidade de ativos monitorados vs. Quantidade total de ativos número e percentual
4.1.12. Para fins de execução do contrato, a(s) CONTRATADA(s) deverá(ão) atender aos
requisitos técnicos especificados neste Termo de Referência e todos os processos poderão ser
amadurecidos conforme a evolução da prestação dos serviços durante a execução do contrato.
4.1.13. Requisitos Técnicos
4.1.14. Grupo 1: Item 1 - Serviço de Security Operations Center - SOC
4.1.14.1. O SOC funcionará 24 horas por dia e 7 dias por semana, tendo por objetivo
sustentar e operar a Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério da Jus ça e
Segurança pública, bem como a realização permanente de ações proa vas voltadas para a
segurança do parque computacional do Ministério da Jus ça e Segurança Pública, sem prejuízo
aos níveis de serviços definido neste Termo de Referência, bem como realizando as seguintes
atividades, não se restringindo somente a elas:
4.1.14.1.1. Monitoramento con nuo e análise, predizendo, prevendo, prevenindo,
detectando e respondendo efetivamente as ameaças de todos incidentes cibernéticos.
4.1.14.1.2. Gerar painéis dinâmicos e em tempo real da situação atual de segurança do
Ministério informando através de um score o nível de segurança.
4.1.14.1.3. Atuar como suporte de primeiro nível aos incidentes ciberné cos
iden ficando, classificando, interrompendo, catalogando todas as tenta vas de ataque aos
sistemas e à infraestrutura do ministério.
4.1.14.1.4. Comunicar tempes vamente a contratante medidas a serem tomadas para
evitar ou conter incidente.
4.1.14.1.5. Atuar no sen do de interromper um incidente quando a equipe do NOC ou
suporte N1, N2 e N3 es ver limitada contratualmente ou em sua capacidade operacional.
Para incidentes que requeiram atuação imediata e em circunstâncias onde a equipe do
NOC não esteja disponível ou não possa atuar, serão definidos protocolos para atuação da
equipe de SOC e Blue Team.
4.1.14.1.6. Outros serviços os quais o SOC atuará em subs tuição ao NOC, não
definidos inicialmente nos protocolos do item anterior, poderão ser definidos durante a
vigência do contrato, por meio de reuniões entre a CONTRATANTE e a CONTRATADA.
4.1.14.1.7. Atuar em harmonia com o NOC do ministério.
4.1.14.1.8. Prestar o serviço de SOC realizando a detecção, triagem, inves gação e
resposta a incidente de eventos u lizando Plataforma de SIEM/SOAR/NTA/UEBA/CTI do
Ministério de acordo com as seguintes funções:
4.1.14.1.8.1. Camada de Automação:
4.1.14.1.8.1.1. Orquestração, Automação e Resposta de Segurança (Security
Orchestration, Automation, and Response - SOAR);
4.1.14.1.8.2. Camada de Análise e Correlacionamento:
4.1.14.1.8.2.1. Monitoramento de estação de trabalho (Endpoint Detec on and
Response - EDR);
4.1.14.1.8.2.2. Análise de Tráfego de Rede (Network Traffic Analysis - NTA);
4.1.14.1.8.2.3. Análise de Comportamento de Usuário (User En ty and Behavior
Analytics - UEBA);
4.1.14.1.8.2.4. Análise de Inteligência de Ameaças Ciberné cas (Cyber Threat
Intelligence - CTI);
4.1.14.1.8.3. Camada de coleta:
4.1.14.1.8.3.1. Informações de segurança e gestão de eventos (Security
Information and Event Management - SIEM).
4.1.14.1.9. Configuração, manutenção, monitoramento e operação da Plataforma de
SIEM/SOAR/NTA/UEBA/CTI do Ministério.
4.1.14.1.10. Monitoramento e Análise de toda a infraestrutura do Ministério, u lizando-
se de análise dos logs disponibilizados em tempo real através da Plataforma de
SIEM/SOAR/NTA/UEBA/CTI do Ministério. Para o devido dimensionamento do esforço de
trabalho necessário, atualmente, a Plataforma de SIEM/SOAR/NTA/UEBA/CTI coleta
eventos que representam aproximadamente 200 GB/dia e 5000 EPS.
4.1.14.1.11. Realização de a vidades de preparação do processo de coleta de logs,
incluindo a normalização, filtragem, redução, agregação e priorização, bem como
a vidades que envolve o processamento, normalização, armazenamento, e demais
a vidades de correlacionamento de logs que serão realizadas nas ferramentas
da Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério, a par r dos dados
disponibilizados pelo Ministério quando ocorrer a contratação.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 34
4.1.14.1.12. Caso as ferramentas de propriedade do Ministério não atendam a completa
execução dos serviços objeto da presente contratação a contratada poderá adotar solução
tecnológica complementar em termos de hardware e software.
4.1.14.1.13. A CONTRATADA poderá u lizar soluções de hardware e so ware
proprietárias desde que previamente autorizadas pelo CONTRATANTE, arcando a
CONTRATADA com todos os custos diretos e indiretos inerentes a u lização de solução
tecnológica e seus licenciamentos necessários.
4.1.14.1.14. Prevê-se que o SOC funcionará como o centralizador de todas as informações
de segurança da informação e suporte de primeiro nível para os processos previstos no
item 4.1.9.4, por isso, a necessidade de seu funcionamento ser ininterrupto. O
dimensionamento da equipe do SOC será a cargo da contratada em quan ta vo mínimo
que garanta o monitoramento ininterrupto de seu funcionamento, a qualidade das
informações prestadas e estar apta a atuar no estado da arte em termos de segurança da
informação, assim como cumprir os Níveis Mínimos de Serviço Exigidos determinados.
4.1.14.2. Principais atividades a serem executadas de forma contínua pela CONTRATADA:
4.1.14.2.1. Acompanhar a execução dos serviços para o cumprimento dos níveis de
serviço estabelecidos;
4.1.14.2.2. Priorizar os atendimentos críticos, conforme definição do CONTRATANTE;
4.1.14.2.3. Monitorar de forma permanente e avaliar criticamente os produtos e serviços
de segurança do CONTRATANTE;
4.1.14.2.4. Prover os fiscais do contrato com os relatórios técnicos e gerenciais
suficientes para a comprovação dos serviços realizados;
4.1.14.2.5. Supervisionar sua equipe na execução dos serviços de Security Opera ons
Center e Serviço de Tratamento e Resposta aos Incidentes Ciberné cos - CSIRT - Blue
Team;
4.1.14.2.6. Elaborar e propor plano de execução dos serviços;
4.1.14.2.7. Definir plano de treinamento inicial e con nuo dos profissionais que
executam os serviços;
4.1.14.2.8. Executar outros serviços correlatos à supervisão dos profissionais na
execução dos serviços;
4.1.14.2.9. Orientar a atuação da equipe técnica em situações crí cas de trabalho, bem
como interagir com os usuários quando a situação requerer;
4.1.14.2.10. Fornecer sugestões e auxiliar na construção e manutenção con nua, com o
apoio e aprovação do Ministério da Jus ça e Segurança pública, de procedimentos
sistema zados e da base de conhecimento, contemplando todas as soluções de problemas
resolvidos com respostas padronizadas;
4.1.14.2.11. Consolidar os relatórios de a vidades mensais (mês calendário), referente
aos serviços, provendo informações gerenciais ao CONTRATANTE;
4.1.14.2.12. Supervisionar sua equipe de profissionais na execução das ações conjuntas
com a área de infraestrutura, cumprindo a polí ca de segurança da informação do
Ministério e aplicando as melhores práticas de segurança;
4.1.14.2.13. Consolidar todas as soluções adotadas na execução das a vidades em
manuais de procedimentos e em base de conhecimento;
4.1.14.2.14. Elaborar mensalmente relatórios de desempenho, auditoria e operação dos
ativos sob sua administração. O processo de auditoria do CONTRATANTE é contínuo;
4.1.14.2.15. Implantar as melhorias solicitadas pelos servidores do CONTRATANTE
através das aberturas de chamados no sistema de gestão de serviços de TI;
4.1.14.2.16. Sugerir novas tecnologias para modernizar o ambiente tecnológico, buscando
subsidiar a equipe do CONTRATANTE na gestão de segurança da informação;
4.1.14.2.17. Aplicar as práticas do ITIL 3 ou superior.
4.1.14.2.18. Manter atualizado o Configura on Management Database (CMDB) na
ferramenta de Gerenciamento de Serviços de TI u lizada pelo CONTRATANTE ou fornecida
pela CONTRATADA sem custo adicional, quanto aos recursos administrado;
4.1.14.2.19. Consolidar as sugestões de melhoria;
4.1.14.2.20. Elaborar relatório detalhado das funcionalidades necessárias de
equipamentos e so wares a serem adquiridos, des nados à Segurança da Informação do
CONTRATANTE;
4.1.14.2.21. Subsidiar tecnicamente, quando demandado, os processos de aquisição;
4.1.14.2.22. Subsidiar os servidores do CONTRATANTE quanto ao dimensionamento da
capacidade de hardware e configuração dos ativos de segurança;
4.1.14.2.23. Abrir chamados técnicos, na língua inglesa ou outro idioma quando
necessário, para os serviços de suporte técnico remoto das soluções de hardware e
software de TI do CONTRATANTE, quanto aos recursos administrados;
4.1.14.2.24. Avaliação do ambiente, serviços e sistemas, monitoramento con nuo, apoiar
o CONTRATANTE na homologação de soluções de segurança e na execução de a vidades
de controle de acessos e demais serviços relacionados à Segurança da Informação no
ambiente tecnológico do CONTRATANTE.
4.1.14.2.25. Instalar ou customizar so wares aplica vos e equipamentos relacionados
aos serviços, objeto desse TR, homologados para uso no Ministério da Jus ça, por
solicitação do CONTRATANTE;
4.1.14.2.26. Receber as diretrizes relacionadas à área de Segurança da Informação e
providenciar a execução e alocação de recursos de trabalho;
4.1.14.2.27. Apoiar e par cipar na implementação dos processos bem como na
mensuração dos indicadores de objetivos instituídos pelo CONTRATANTE;
4.1.14.2.28. Realizar as a vidades em estrita observância na Polí ca de Segurança da
Informação (PSI) e demais normas estipuladas pelo CONTRATANTE;
4.1.14.2.29. Consolidar em manuais e scripts todos os serviços e soluções adotadas
sejam eles novos ou já implantados no CONTRATANTE;
4.1.14.2.30. Auxiliar na elaboração dos procedimentos e metodologias, e verificar e
reportar o cumprimento dos mesmos pelas demais áreas de TI;
4.1.14.2.31. Apoiar o CONTRATANTE na análise e definição das regras de uso dos
recursos computacionais do CONTRATANTE;
4.1.14.2.32. Implantar as melhorias solicitadas pelos servidores do CONTRATANTE
através das ordens de serviço;
4.1.14.2.33. Monitorar e propor soluções aos projetos/a vidades em andamento
otimizando-os quanto aos requisitos de Segurança da Informação;
4.1.14.2.34. Monitorar o ambiente lógico da CONTRATANTE iden ficando de forma
proativa possíveis tentativas ou ataques aos ativos da CONTRATANTE;
4.1.14.2.35. Par cipar, quando solicitado, de reunião com os gerentes e par cipantes dos
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 35
projetos de desenvolvimento e manutenção de sistemas e administração de dados, a fim
de prover soluções para projetos/atividades em andamento;
4.1.14.2.36. Par cipar da implantação de projetos/soluções, subs tuição e atualização
de soluções destinadas à Segurança da Infraestrutura de rede;
4.1.14.2.37. Implantar e configurar regras na Plataforma de SIEM/SOAR/NTA/UEBA/CTI
do Ministério;
4.1.14.2.38. Realizar análise de tentativas de invasão a sistemas e equipamentos;
4.1.14.2.39. Auxiliar o CONTRATANTE nos projetos de Segurança da Informação;
4.1.14.2.40. Propor procedimentos de Segurança da Informação;
4.1.14.2.41. Apoiar o CONTRATANTE na revisão e atualização da polí ca de segurança da
informação;
4.1.14.2.42. Executar periodicamente testes de alta disponibilidade na infraestrutura do
CONTRATANTE com o objetivo de validar o seu funcionamento;
4.1.14.2.43. Elaborar um plano de teste do ambiente de infraestrutura de segurança do
CONTRATANTE, que deverá ser man do atualizado con nuamente. Este plano poderá
servir de referência para elaboração de um Plano de Con nuidade dos Serviços de
Segurança da Informação;
4.1.14.2.44. Sugerir a atualização de versão de todos os softwares e hardwares do parque
tecnológico que sustenta a Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério;
4.1.14.2.45. Execução de mudanças de configuração nos ativos sob sua administração;
4.1.14.2.46. Executar medidas preven vas com obje vo de iden ficar e conter possíveis
ataques e invasões aos ativos da CONTRATANTE;
4.1.14.2.47. Execução das a vidades rela vas aos norma vos e governança do
CONTRATANTE naquilo que for relativo à sua área de atuação.
4.1.14.3. Os produtos listados abaixo devem ser criados e atualizados em conformidade com
os padrões e necessidade do Ministério da Justiça:
4.1.14.3.1. Documento contendo a volumetria média de acessos, listando os limites a
partir do qual serão considerados um incidente cibernético;
4.1.14.3.2. Guia de procedimentos de sustentação do serviço de proteção de e-mail;
4.1.14.3.3. Guia de procedimentos de sustentação do serviço de antivírus;
4.1.14.3.4. Guia de procedimentos de sustentação do serviço de proteção unificada;
4.1.14.3.5. Guia de procedimentos de sustentação do serviço de gestão unificado de
ameaças;
4.1.14.3.6. Guia de procedimentos de sustentação do serviço de firewall de aplicação;
4.1.14.3.7. Guia de procedimentos de sustentação do serviço de gerenciamento de
vulnerabilidades;
4.1.14.3.8. Relatórios de Con nuidade de Negócios contendo indicadores de capacidade
e disponibilidade dos a vos, além de projeções de elevação do uso dos recursos
computacionais;
4.1.14.3.9. Documento contendo os requisitos de segurança da informação para a
homologação e liberação de serviços, aplicações, servidores de rede;
4.1.14.3.10. Catálogo de Serviços e Base de Itens de Configuração;
4.1.14.3.11. Base de Conhecimento.
4.1.14.4. Deve permi r ajustar os critérios e pontuações de riscos já existentes na
ferramenta como também criar novas regras de negócio que contribuam para a análise e
pontuação de risco para atividades consideradas suspeitas ou precisam ser monitoradas;
4.1.14.5. A CONTRATADA deverá apoiar o CONTRATANTE em caso de mudanças requeridas
por conta de atualizações ou remanejamentos de infraestrutura;
4.1.14.6. A CONTRATADA deverá realizar a configuração das ferramentas que compõem as
soluções sob sua administração, a fim de garantir o uso eficiente delas;
4.1.14.7. Sempre que houver atendimento, a CONTRATADA deverá enviar relatório de
atividades por e-mail para o CONTRATANTE;
4.1.14.8. A CONTRATADA deverá acionar o fabricante das ferramentas, sob sua
administração, sempre que necessário, sem nenhum custo adicional para o CONTRATANTE.
4.1.14.9. Monitoramento e Visibilidade
4.1.14.9.1. Visa o monitoramento con nuo e ininterrupto de ataques ciberné cos
direcionados ao Ministério da Jus ça, através de correlacionamento de logs e/ou
comportamento anômalo de aplicações, serviços e infraestrutura que possam gerar eventos
de segurança da informação, aos quais devem ser analisados, podendo estes serem
transformados em um incidente ciberné co, conforme definido em processo de gestão de
incidentes.
4.1.14.10. O SOC pode ser executado no ambiente da CONTRATANTE ou da
CONTRATADA.
4.1.14.10.1. Quando no ambiente da CONTRATADA, deve estar a vo e deve atender aos
seguintes requisitos mínimos:
4.1.14.10.1.1. Estar localizado fisicamente em território nacional;
4.1.14.10.1.2. U lizar sistema de gerenciamento de CFTV, que viabilizem o monitoramento
de pessoas, equipamentos e sistemas relacionadas ao contrato do MJSP e cujas imagens
possam ser recuperadas por no mínimo 90 (noventa) dias;
4.1.14.10.1.3. Efetuar registro de entrada e saída dos visitantes, com iden ficação
individual, em todos os acessos ao SOC por no mínimo 90 dias;
4.1.14.10.1.4. Possuir solução de monitoramento de disponibilidade e desempenho de seus
ativos de TIC e de subsistemas;
4.1.14.10.1.5. O perímetro deve ser protegido contra intrusão e acesso indevido;
4.1.14.10.1.6. Ser vigiado fisicamente de forma ininterrupta por segurança especializada
em regime de 24x7x365;
4.1.14.10.1.7. Ter controle de acesso sico com pelo menos 2 (dois) fatores de
autenticação;
4.1.14.10.1.8. Ser configurado de forma que a falha de um dos equipamentos isoladamente
NÃO interrompa a prestação dos serviços;
4.1.14.10.1.9. Ter sistema de provimento ininterrupto de energia elétrica, composto por
grupo gerador e UPSs (unidades de alimentação elétrica con nua) para garan r a transição
entre o fornecimento normal de energia e o grupo gerador;
4.1.14.10.1.10. Ter componentes de segurança necessários para garan r a preservação dos
dados em casos de incêndio e execução de plano de recuperação de catástrofes;
4.1.14.10.1.11. Deverá possuir processos implementados que garantam a segurança das
informações do CONTRATANTE, em conformidade com a norma ABNT NBR ISO/IEC 27001.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 36
4.1.14.10.1.12. A Contratada deverá disponibilizar à Contratante acesso aos sistemas que
utilize na prestação do serviço e que não sejam do MJSP.
4.1.14.10.2. Quando no ambiente da CONTRATANTE, deve estar a vo e deve atender aos
seguintes requisitos mínimos:
4.1.14.10.2.1. Possuir solução de monitoramento de disponibilidade e desempenho de seus
ativos de TIC e de subsistemas;
4.1.14.10.2.2. O perímetro lógico deve ser protegido contra intrusão e acesso indevido;
4.1.14.10.2.3. Ser configurado de forma que a falha de um dos equipamentos isoladamente
NÃO interrompa a prestação dos serviços;
4.1.14.10.2.4. Deverá possuir processos implementados que garantam a segurança das
informações do CONTRATANTE, em conformidade com a norma ABNT NBR ISO/IEC 27001.
4.1.14.10.2.5. A Contratada deverá disponibilizar à Contratante acesso aos sistemas que
utilize na prestação do serviço e que não sejam do MJSP.
4.1.15. Grupo 1: Item 2 - Serviço de Tratamento e Resposta aos Incidentes Ciberné cos -
CSIRT - Blue Team
4.1.15.1. O CISRT - Blue Team funcionará de forma ininterrupta 24 horas por dia e 7 dias por
semana, associado ao SOC para a vidades de apoio ao suporte de primeiro nível e contenção de
ataques, bem como, para a vidades e suporte de segundo nível em diante e tendo por objetivos
proa vos prevenir, tratar, responder , além de obje vos rea vos de analisar, documentar e
indicar como conter e remediar os eventos de segurança da informação e de dados que foram
transformados em um incidente ciberné co, sem prejuízo aos níveis de serviços definido neste
Termo de Referência.
4.1.15.2. A CONTRATADA deverá realizar avaliação completa do ambiente do
CONTRATANTE com o obje vo de iden ficar lacunas ou oportunidades de melhoria (Gap
Analysis) com o objetivo de avaliar a maturidade dos controles de segurança do CONTRATANTE.
4.1.15.2.1. A análise dos controles de segurança deverá ser realizada obedecendo o
framework de segurança cibernética (CSF) do NIST.
4.1.15.2.2. A análise deverá ser conduzida por profissional com cer ficação CISSP –
Cer fied Informa on Systems Security, que será responsável pela apresentação dos
resultados da análise ao gestor, fiscais do contrato e gestores de TI do Ministério da
Justiça e Segurança pública.
4.1.15.3. Deverão ser observadas as orientações e técnicas emanadas pelos padrões
internacionais e pela Rede Federal de Gestão de Incidentes Ciberné cos, além de outros
apresentados pela contratada, caso haja em seu por ólio norma vos que comprovadamente
complementem os demonstrados abaixo:
4.1.15.3.1. NIST Cybersecurity Framework, Version 1.1 ou mais recente;
4.1.15.3.2. NIST Privacy Framework, Version 1.0 ou mais recente;
4.1.15.3.3. NIST Special Publica on 800-61 Revision 2 (Computer Security Incident
Handling Guide);
4.1.15.3.4. NIST Special Publica on 800-115 (Technical Guide to Informa on Security
Testing and Assessment);
4.1.15.3.5. NIST Special Publica on 800-53 (Security and Privacy Controlsfor Informa on
Systems and Organizations);
4.1.15.3.6. SANS Incident Handler's Handbook;
4.1.15.3.7. CIS Control, Version 7.1 ou mais recente;
4.1.15.3.8. ISO/IEC 27035-1:2016 - Informa on technology — Security techniques —
Information security incident management — Part 1: Principles of incident management;
4.1.15.3.9. ISO/IEC 27035-2:2016 - Informa on technology — Security techniques —
Informa on security incident management — Part 2: Guidelines to plan and prepare for
incident response;
4.1.15.3.10. ISO/IEC 27035-3:2020 - Informa on technology — Informa on security
incident management — Part 3: Guidelines for ICT incident response operations;
4.1.15.4. Incidente ciberné co - ocorrência que comprometa, real ou potencialmente, a
disponibilidade, a integridade, a confidencialidade ou a auten cidade de sistema de informação
ou das informações processadas, armazenadas ou transmi das por esse sistema, que poderá
também ser caracterizada pela tenta va de exploração de vulnerabilidade de sistema de
informação que cons tua violação de norma, polí ca de segurança, procedimento de segurança
ou política de uso (Decreto Nº10.748, de 16 de julho de 2021 - Cap. I, Art.3º - V).
4.1.15.5. Para divulgação de ações de segurança da informação (Alertas, Conscien zação e
Recomendações) aos usuários finais, equipes de TIC e aos gestores com o obje vo de fortalecer
uma estrutura para projetar, implementar, monitorar, manter e melhorar a segurança da
informação consistente com a cultura organizacional, conforme preceitua a ABNT NBR ISO/IEC
27000, bem como para acompanhamento e avaliação dos indicadores de performance e serviços
de SOC e CSIRT pelos gestores de TIC do Ministério a CONTRATADA deverá desenvolver e manter
um Portal W EB de CSIRT do Ministériohospedado na infraestrutura da CONTRATANTE, para a
disponibilização de tais informações, como também informações para registro de no ficações por
usuários externos ao Ministério com uso de tecnologias seguras, definidas pela CRS, para
comunicações através de canal seguro.
4.1.15.6. A seguir é apresentado a Tabela 7 com as categorias quanto a natureza, impacto
ao negócio, impacto quanto as informações e esforço de recuperação de incidentes com o
objetivo de definir o escopo dos serviços prestados pela CONTRATADA;
Tabela 7 - Categorias quanto natureza do impacto
Descrição
Impacto Impacto Descrição do do esforço
Descrição do Impacto Esforço de
Natureza Descrição da Natureza ao quanto as Impacto quanto necessário
ao negócio Recuperação
Negócio informações as informações para a
recuperação
Algo que ocorreu nos
Nenhum efeito na
sistemas de informação,
capacidade da
infraestrutura ou dados mas
Evento Nenhum organização de fornecer N/A Não se aplica
não necessariamente Nenhuma
todos os serviços a
malicioso ou que requer informação foi
todos os usuários
uma ação. exfiltrada,
Nenhum alterada, apagada O tempo
Efeito mínimo; a
ou de outra para a
organização ainda pode
Algo potencialmente forma recuperação
fornecer todos os
Alerta acionável. Uma indicação de Baixo comprometida Regular é previsível
serviços críticos a todos
um evento acionável. com os
os usuários, mas perdeu
recursos
eficiência
existentes
Informações
sensíveis
pessoalmente
identificáveis (PII)
Quebra de de contribuintes,
privacidade funcionários,
beneficiários,
etc., foram
acessadas ou
Qualquer evento com a exfiltradas O tempo
A organização perdeu a
violação da Informações para a
capacidade de fornecer
confidencialidade, proprietárias não recuperação
um serviço essencial e
Incidente integridade, disponibilidade Médio classificadas, tais Complementado é previsível
crítico para um
e privacidade, mas sem como com
subconjunto de
impacto à missão ou ao Quebra de informações de recursos
usuários do sistema
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 37
usuários do sistema
negócio. propriedade infraestrutura adicionais
crítica protegida
(PCII), foram
acessadas ou
exfiltradas
As informações
sensíveis ou
Perda de
proprietárias
integridade
foram alteradas
ou excluídas
Informações
sensíveis
pessoalmente
identificáveis (PII)
Quebra de de contribuintes,
privacidade funcionários,
beneficiários,
etc., foram O tempo
acessadas ou para a
exfiltradas recuperação
Qualquer evento com a
Informações é
violação da
proprietárias não imprevisível;
Incidente confidencialidade,
classificadas, tais Estendido são
grave integridade, disponibilidade
como necessários
e privacidade, com impacto
Quebra de informações de recursos
à missão ou ao negócio.
propriedade infraestrutura adicionais e
crítica protegida ajuda
(PCII), foram externa
acessadas ou
exfiltradas
As informações
A organização não é sensíveis ou
Perda de
mais capaz de fornecer proprietárias
integridade
alguns serviços foram alteradas
essencial e críticos a ou excluídas
Alto
nenhum usuário e ou o Informações
comprometimento de sensíveis
dados institucionais e pessoalmente
ou pessoais. identificáveis (PII)
Quebra de de contribuintes,
privacidade funcionários,
beneficiários, A
etc., foram recuperação
Perda ou acessadas ou do incidente
comprometimento de exfiltradas não é
sistemas, dados regulados, Informações possível (por
Invasão propriedade empresarial proprietárias não exemplo, os
e/ou que dispara uma ação ou classificadas, tais Não Recuperável dados
Vazamento resposta legal que vai além como sensíveis
dos serviços de Quebra de informações de exfiltrados e
monitoramento e respostas propriedade infraestrutura postados
a incidentes. crítica protegida público);
(PCII), foram lançar
acessadas ou investigação
exfiltradas
As informações
sensíveis ou
Perda de
proprietárias
integridade
foram alteradas
ou excluídas
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 38
cibernéticos e sendo responsável por:
4.1.15.11.1. Pesquisar novos pos de ataques, vírus, malwares, botnets, vulnerabilidades
e afins com intuito de melhoria con nua de detecção e mi gação destes males dentro
da Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério.
4.1.15.11.2. Criar, em colaboração com a CONTRATANTE, casos de uso (regras) que
devem ser implementados na Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério.
4.1.15.11.3. Revisar periodicamente as regras da Plataforma de
SIEM/SOAR/NTA/UEBA/CTI do Ministério, realizando as adaptações e evoluções
necessárias;
4.1.15.11.4. Produzir e entregar informação de inteligência acionável, na forma de
procedimentos para triagem de alertas e procedimentos para resposta a incidentes,
correspondentes às regras da Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério;
4.1.15.12. Atuar proa vamente na antecipação e iden ficação de incidentes ciberné cos,
antes mesmo do impacto nos serviços;
4.1.15.13. Reagir aos eventos de Segurança da Informação que possam afetar a
disponibilidade, integridade ou confidencialidade das informações existentes nos sistemas ou
serviços de TI do CONTRATANTE;
4.1.15.14. Atuar quando ocorrer a falha dos controles de segurança ou situação previamente
desconhecida e que tenha probabilidade de comprometer os sistemas e serviços de TI.
4.1.15.15. Realizar e apresentar relatório de testes de vulnerabilidades de todo o ambiente
tecnológico, conforme as práticas de Segurança da Informação;
4.1.15.16. Gerar e consolidar os relatórios analí cos de ataques e ou incidentes contendo
dados, informações, indicadores e métricas que permitam avaliar a exposição do parque
computacional do CONTRATANTE, contendo: hosts encontrados, topologia de rede, serviços,
vulnerabilidade descobertas, nível de risco por plataforma e por vulnerabilidade, atualização de
a vos sob sua administração, atualização de so wares (aplicação de patches e fix), sistemas de
proteção, para apresentação ao CONTRATANTE, constando as medidas tomadas e sugestões;
4.1.15.17. Apresentar relatório das principais remediações para o tratamento das
vulnerabilidades mais comuns, das vulnerabilidades mais crí cas e dos exploits conhecidos,
emi ndo relatórios execu vos, operacionais e de conformidade a norma NIST Cybersecurity
Framework, Version 1.1 ou mais recente;
4.1.15.18. Monitorar e analisar os logs dos serviços de segurança (equipamentos, sistemas
operacionais de servidores e clientes, conexões, programas u lizados etc.), propondo ações
corretivas e de melhorias;
4.1.15.19. A CONTRATADA deverá, quando da inexistência de empresa responsável pela
infraestrutura do CONTRATANTE ou, quando o risco de exploração for considerado alto e a
empresa responsável pela infraestrutura não atuar de forma tempes va, aplicar correções ou
soluções de contorno que minimizem/corrijam as vulnerabilidades apontadas pelo Relatório
“Teste de Invasão” a par r do final da “Reunião para apresentação do relatório de
recomendações e descrição das a vidades executadas durante o teste” de forma subsidiária,
após autorização da área de segurança do CONTRATANTE.
4.1.15.20. A CONTRATADA deverá organizar a alocação de turnos e de profissionais de sua
equipe.
4.1.15.21. A CONTRATADA será responsável por realizar os testes em todos os sistemas ou
a vos informados neste Termo de Referência, assim como, nos que vierem a exis r na
infraestrutura do CONTRATANTE.
4.1.15.22. Eventos:
4.1.15.22.1. A par cipação em eventos de Segurança da Informação nacionais ou
internacionais deverá ser uma prá ca adotada pelo prestador visando estar alinhado ao
estado da arte em termos de segurança da informação, sendo sugerida a par cipação da
CRS com a indicação do evento, período, local e custos, provendo à CRS todos os meios
pelos quais possa pleitear internamente junto a DTIC a par cipação de sua equipe e, em
caso de impossibilidade de par cipação da equipe da CRS, prover o repasse das
informações obtidas no evento tão logo do regresso dos participantes.
4.1.15.22.2. A CONTRATADA deverá divulgar ao menos a cada 6 (seis) meses a listagem
de eventos nacionais e internacionais de Segurança da Informação para que o Ministério
possa programar a par cipação dos servidores da área de segurança da informação. Na
listagem de eventos deverá constar o nome do evento, período, local e custos relacionados
ao evento como material, inscrição e outros.
4.1.15.23. O CONTRATANTE, no curso da execução contratual, poderá demandar a
CONTRATADA em temas relacionados a Segurançca da Informação e Comunição, visando auxiliar
o CONTRATANTE no desempenho de suas a vidades tais como, mas nao se limitando a estas:
verificacao de conformidades no ambiente, confecção de relatórios, elaboração de documentos
ou pareceres, avaliação de vulnerabilidades em aplica vos a serem instalados, especificação de
requisitos de segurança para contratação de a vos ou serviços, auxiliar/avaliar na
implantação de frameworks de segurança.
4.1.16. Grupo 2: Item 3 e Item 4 - Serviço de Teste de Invasão - Red Team
4.1.16.1. O Red Team atenderá sob demanda, executando testes, tendo como obje vo
principal iden ficar, mapear e documentar possíveis vulnerabilidades nos sistemas, serviços,
processos e a vos de infraestrutura tecnológica do Ministério. Esses testes envolvem,
necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não
autorizado e privilegiado aos a vos e informações, bem como a indicação de soluções para a
correção das vulnerabilidades encontradas, sem prejuízo aos níveis de serviços definido neste
Termo de Referência.
4.1.16.1.1. Para o serviço foram es mados 827 alvos a serem u lizados, segundo
interesse e necessidade do MJSP, ao longo dos 24 meses da vigência do contrato a ser
estabelecido com a Contratada, conforme tabela 1 e 4. Dos sistemas existentes hoje,
es ma-se que o Ministério irá demandar, no mínimo, 83 alvos a cada 12 meses, sendo que
desses pelo menos 20 serão de sistemas web;
4.1.16.1.2. Cada demanda solicitada poderá ter um ou mais alvos como obje vo de
ataque;
4.1.16.1.3. A definição do que estão sendo considerados alvos neste TR encontra-se
definido em subitem abaixo - 4.1.16.6;
4.1.16.1.4. Os serviços serão avaliados de acordo com a apresentação do "Relatório de
Teste de Invasão" e com os níveis mínimos de serviços estabelecidos na tabela 11,
definidos em itens posteriores neste TR.
4.1.16.2. Realizar tenta vas de Data Exfiltra on, Internal & External Reconnaissance,
ShadowMap Scan, Vulnerability Assessment, Social Engineering, Exploitaion, Pivo ng / Lateral
Movements, entre outros, a rede e aos sistemas do ministério, obedecendo o framework de
segurança MITRE ATT&CK que u liza base global de conhecimento das tá cas, técnicas e
procedimentos (TTP’s) u lizados por atacantes para avaliar a efe vidade dos controles de
segurança.
4.1.16.3. As equipes de ataque (RED TEAM) e defesa (BLUE TEAM) devem interagir e
funcionar de maneira integrada. A equipe de RED TEAM deve compar lhar seu conhecimento no
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 39
sen do de indicar soluções para vulnerabilidades encontradas e a equipe de BLUE TEAM deve
possuir conhecimento das tác cas e técnicas de ataque para que, por meio da coordenação da
CRS, aumente-se a efetividade da proteção do ambiente.
4.1.16.4. O Serviço de Testes de Invasão será do po externo e interno e terá como obje vo
principal iden ficar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades nos
sistemas, processos e a vos de infraestrutura tecnológica. Os componentes da equipe
responsável pela execução do serviço devem ter as qualificações que constam nos
itens 4.12.13.4.1.1, 4.12.13.4.1.2 e 4.12.13.4.2. Para a realização dos testes de invasão deverão
ser observadas as orientações e técnicas emanadas pelos padrões internacionais, além de outros
apresentados pela CONTRATADA, caso haja em seu por ólio norma vos que comprovadamente
complementem os demonstrados abaixo:
4.1.16.4.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual) ;
4.1.16.4.2. ISSAF/PTF (Information Systems Security Assessment Framework);
4.1.16.4.3. NIST Special Publica on 800-115 (Technical Guide to Informa on Security
Testing and Assessment);
4.1.16.4.4. NIST Special Publication 800-42 (Guideline on Network Security Testing);
4.1.16.4.5. NIST Special Publica on 800-53 (Security and Privacy Controlsfor Informa on
Systems and Organizations);
4.1.16.4.6. OWASP TESTING GUIDE 4.1 ou mais recente (The Open Web Applica on
Security Project).
4.1.16.5. Neste documento os termos “pentest”, teste de penetração, teste de intrusão e
testes de invasão, são considerados sinônimos;
4.1.16.6. Alvos são todos os a vos de TIC envolvidos na sustentação e operação de um
sistema ou serviço de TIC que vão desde a camada sica até a camada de aplicação do modelo
OSI (Open System Interconnec on), bem como um grupo de pessoas/usuários finais e/ou
usuários e administradores de TI e processos;
4.1.16.7. Os alvos dos “Testes de Invasão” bem como as premissas e condições para
realização destes serão, necessariamente, definidos e aprovados através de demanda por parte
do CONTRATANTE;
4.1.16.8. A Contratada deverá observar que os testes de invasão serão executados
internamente (qualquer ponto da rede corpora va do CONTRATANTE) e externamente (através da
Internet);
4.1.16.9. Todas as fases dos “Testes de Invasão” serão acompanhadas e supervisionadas a
critério do CONTRATANTE;
4.1.16.10. Quaisquer a vidades que possa comprometer ou prejudicar algum ambiente ou
a vo deverá ser imediatamente reportada, antes de sua execução, haja vista a necessidade de
manter a disponibilidade dos ambientes e serviços ativos;
4.1.16.11. O teste de invasão deverá obedecer às seguintes fases:
4.1.16.11.1. Planejamento;
4.1.16.11.2. Descoberta;
4.1.16.11.3. Ataque;
4.1.16.11.4. Relatório Teste de Invasão;
4.1.16.11.5. Reunião para apresentação do relatório de recomendações e descrição das
atividades executadas durante o teste;
4.1.16.11.6. Realização de reavaliação como parte da demanda solicitada na OS, sem
gerar custo adicional não sendo considerada nova demanda;
4.1.16.11.7. Relatório Final do Teste de Invasão.
4.1.16.12. Planejamento:
4.1.16.12.1. Todas as premissas, processos, a vidades descritas e aprovadas na
demanda, inclusive os cronogramas serão detalhados e apresentados na fase de
planejamento;
4.1.16.12.2. Informações sobre o ambiente corpora vo, u lizando-se das seguintes
técnicas (podendo ser utilizadas ambas, conforme definição do escopo):
4.1.16.12.2.1. Técnica da caixa-preta (nenhum conhecimento sobre o ambiente a ser
avaliado. O ambiente deverá ser descoberto pelo especialista) ;
4.1.16.12.2.2. Técnica da caixa branca (o avaliador tem acesso irrestrito a qualquer
informação que possa ser relevante ao teste) ;
4.1.16.12.2.3. Técnica da caixa cinza ou híbrida (conhecimento parcial da estrutura
interna do alvo).
4.1.16.13. Descoberta:
4.1.16.13.1. Deverá ser u lizada pela CONTRATADA ferramentas para análise de
vulnerabilidades e gestão de vulnerabilidades devidamente licenciadas, incluídas
ferramentas open source, além de técnicas manuais de análise de vulnerabilidade. As
ferramentas deverão ser apresentadas a CONTRATANTE para ciência e aprovação antes de
sua efetiva utilização, assim como a metodologia para análise manual de vulnerabilidades;
4.1.16.13.2. Na fase da DESCOBERTA deverão ser atendidos os seguintes quesitos e
apresentado juntamente no “RELATÓRIO TESTE DE INVASÃO” (quando necessário):
4.1.16.13.2.1. Coleta passiva, onde deverá ser u lizada, no mínimo, as seguintes
técnicas:
4.1.16.13.2.1.1. Whois e nslookup (consultas DNS) ;
4.1.16.13.2.1.2. Sites de busca;
4.1.16.13.2.1.3. Listas de discussão;
4.1.16.13.2.1.4. Blogs de colaboradores;
4.1.16.13.2.1.5. Dumpster diving ou trashing;
4.1.16.13.2.1.6. Informações livres;
4.1.16.13.2.1.7. Packet sniffing “passive eavesdropping”;
4.1.16.13.2.1.8. Captura de banner.
4.1.16.13.2.2. Coleta a va, onde deverá ser u lizada, no mínimo, as seguintes
técnicas:
4.1.16.13.2.2.1. Port scanning (Mapeamento de rede) ;
4.1.16.13.2.2.2. Varredura de vulnerabilidade.
4.1.16.13.2.3. A varredura de vulnerabilidade deverá verificar/iden ficar, entre
outros:
4.1.16.13.2.3.1. Hosts ativos na rede;
4.1.16.13.2.3.2. Portas e serviços em execução;
4.1.16.13.2.3.3. Serviços ativos e vulneráveis nos hosts;
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 40
4.1.16.13.2.3.4. Sistemas operacionais;
4.1.16.13.2.3.5. Vulnerabilidades associadas com sistemas operacionais e
aplicações descobertas;
4.1.16.13.2.3.6. Configurações feitas nos hosts sem observância de boas
práticas em segurança computacional;
4.1.16.13.2.3.7. Iden ficação de rotas e es ma va de impacto, caso estas
sejam modificadas/desconfiguradas;
4.1.16.13.2.3.8. Iden ficação de vetores de ataque e cenários para
exploração;
4.1.16.13.2.3.9. Vulnerabilidades Detectadas (CVE);
4.1.16.13.2.3.10. Vulnerabilidades de Alto, Médio e Baixo Risco. Conforme o
p a d r ã o Common Vulnerability Scoring System (CVSS) -
h ps://www.first.org/cvss/v3.1/specifica on-document, item " Qualitative
Severity Rating Scale";
4.1.16.13.2.3.11. Informações a serem aplicadas na fase de ataques;
4.1.16.13.2.4. Os serviços e aplicações web deverão verificar/iden ficar, entre
outros:
4.1.16.13.2.4.1. Uso indevido de sistema de arquivos e arquivos temporários;
4.1.16.13.2.4.2. Evasão de informação por configurações default de tratamento
de erros;
4.1.16.13.2.4.3. Tratamento indevido de entrada;
4.1.16.13.2.4.4. Problemas relacionados à má configuração dos serviços;
4.1.16.13.2.4.5. Gerenciamento inseguro de sessões web.
4.1.16.14. Ataque (exploração):
4.1.16.14.1. Quaisquer suspeita de comprome mento de algum ambiente ou a vo deverá
ser imediatamente reportada, antes de sua execução, haja vista a necessidade de manter a
disponibilidade dos ambientes e serviços ativos;
4.1.16.14.2. Deverá realizar testes de vulnerabilidades e invasão em endereços IP’s, URL
́s , aplicações, ou outro a vo definido do ambiente computacional, composto por servidores,
banco de dados, a vos de rede, a vos de segurança e outros equipamentos relacionados
ao teste de invasão;
4.1.16.14.3. Deverão ser aplicados, no mínimo, os seguintes tipos de ataques:
4.1.16.14.3.1. Violações do protocolo HTTP;
4.1.16.14.3.2. SQL Injection;
4.1.16.14.3.3. LDAP Injection;
4.1.16.14.3.4. Cookie Tampering;
4.1.16.14.3.5. CrossSite
4.1.16.14.3.6. Scripting (XSS);
4.1.16.14.3.7. Directory Transversal;
4.1.16.14.3.8. Buffer Overflow;
4.1.16.14.3.9. OS Command Execution;
4.1.16.14.3.10. Command Injection;
4.1.16.14.3.11. Remote Code Inclusion;
4.1.16.14.3.12. Server Side Includes (SSI) Injection;
4.1.16.14.3.13. File disclosure;
4.1.16.14.3.14. Information Leak;
4.1.16.14.3.15. Zero day attacks;
4.1.16.14.3.16. Negação de serviço;
4.1.16.14.3.17. Contra protocolo TCP;
4.1.16.14.3.18. Ataques contra a aplicação.
4.1.16.14.4. Os ataques de negação de serviços, contra protocolo TCP e em nível da
aplicação deverão, cada qual, explorar/demonstrar/u lizar as seguintes técnicas, entre
outras:
4.1.16.14.4.1. Bugs em serviços, aplicativos e sistemas operacionais;
4.1.16.14.4.2. SYN flooding;
4.1.16.14.4.3. Fragmentação de pacotes de IP;
4.1.16.14.4.4. Smurf e fraggle;
4.1.16.14.4.5. Teardrop, nuke e land.
4.1.16.14.4.6. Para ataques contra o protocolo TCP.
4.1.16.14.4.6.1. Sequestro de conexões;
4.1.16.14.4.6.2. Prognóstico de número de sequência do protocolo TCP.
4.1.16.14.4.6.2.1. Ataque de Mitnick;
4.1.16.14.4.6.2.2. Source routing.
4.1.16.14.5. Para ataques em nível da aplicação:
4.1.16.14.5.1. Buffer Overflow;
4.1.16.14.5.2. Problemas com o SNMP;
4.1.16.14.5.3. Vírus, worms e cavalos de Tróia.
4.1.16.14.6. Injeção de Código:
4.1.16.14.6.1. Ataques XSS (Cross site Script) ;
4.1.16.14.6.2. Comprometimento do acesso remoto;
4.1.16.14.6.3. Manutenção de acesso;
4.1.16.14.6.4. Encobrimento de rastros da invasão.
4.1.16.14.7. Para este TR estão sendo considerados os seguintes conceitos em relação a
Phishing.
4.1.16.14.7.1. Phishing é uma técnica de fraude online, u lizada por criminosos no
mundo da informá ca para roubar senhas de banco e demais informações pessoais,
usando-as de maneira fraudulenta Esta é uma forma de roubo de iden dade que
ocorre quando um site malicioso se faz passar por um legí mo, para induzi-lo a
passar informações confidenciais, como senhas, dados de contas ou números de
cartão de crédito. Seja conduzido por e-mail, redes sociais, SMS ou outro vetor, todos
os ataques de phishing seguem os mesmos princípios básicos. O golpista envia um
texto direcionado, com o obje vo de convencer a ví ma a clicar em um link, baixar
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 41
texto direcionado, com o obje vo de convencer a ví ma a clicar em um link, baixar
um anexo, enviar as informações solicitadas ou até mesmo concluir um pagamento
real.
4.1.16.14.7.2. Phishing por e-mail: De longe, o método mais comum, o phishing por
e-mail usa o e-mail para introduzir a isca de phishing. Esses e-mails geralmente
contêm links que levam a sites maliciosos ou anexos que contêm malware.
4.1.16.14.7.3. Phishing nos sites: Os sites de phishing, também conhecidos como
sites falsificados, são cópias falsas de sites reais conhecidos e confiáveis. Os
hackers criam esses sites falsificados para fazer você inserir suas credenciais de
login, que podem ser usadas para fazer login nas suas contas reais. Os pop-ups
também são uma fonte comum de phishing nos sites.
4.1.16.14.7.4. Vishing: Abreviação de “phishing de voz”, vishing é a versão em áudio
do phishing na internet. O golpista tentará convencer as ví mas por telefone a
divulgar informações pessoais que podem ser usadas posteriormente para roubo de
identidade. Muitas chamadas automatizadas são tentativas de vishing.
4.1.16.14.7.5. Smishing: Smishing é phishing via SMS. Você recebe uma mensagem
de texto que solicita clicar em um link ou baixar um aplica vo. Mas, ao fazer isso,
você baixará malware no seu telefone, que poderá roubar suas informações pessoais
e enviá-las ao invasor.
4.1.16.14.7.6. Phishing nas redes sociais: Alguns invasores podem acessar contas de
redes sociais e forçar as pessoas a enviarem links maliciosos para seus amigos.
Outros criam perfis falsos e usam esses perfis para phishing.
4.1.16.14.7.7. Spear phishing: As campanhas de phishing em larga escala são como
barcos de pesca industrial que arrastam redes enormes pelo oceano, tentando
prender tudo que encontrar pelo caminho. Por outro lado, o spear phishing ocorre
quando os phishers personalizam seus ataques para a ngir indivíduos específicos.
Redes sociais profissionais como o LinkedIn popularizaram o spear phishing para o
crime ciberné co corpora vo, pois os hackers podem encontrar facilmente todas as
suas informações de emprego em um só lugar;
4.1.16.14.7.8. Whaling: E para fechar o conjunto de metáforas náu cas, temos
whaling (a caça às baleias), um ataque de phishing que visa um determinado
indivíduo de alto valor. É o mesmo que spear phishing, mas com metas muito mais
ambiciosas. Até os execu vos seniores mais importantes estão propensos ao
whaling;
4.1.16.14.7.9. Business E-mail Compromise (Fraude de CEO) ou golpe do Man-in-the-
E-mail: Tipo de Phishing que envolvem malware e engenharia social ou técnicas de
intrusão com o obje vo de extrair informações de pagamento, ou outras informações
privilegiadas dos CEO de uma empresa ou outro execu vo de alto escalão para a
realização de transferências bancárias não autorizadas. As campanhas de fraude de
CEO acompanham frequentemente ataques de whaling, pois o criminoso já obteve as
credenciais de login do CEO.
4.1.16.14.7.10.Pharming: Explora a base de funcionamento da navegação na Internet
realizando o envenenamento do servidor DNS.
4.1.16.14.7.11. Dropbox phishing e Google Docs phishing: Os serviços populares de
nuvem são alvos atraentes de phishing. Os invasores a vam versões falsificadas das
telas de login, roubam suas credenciais quando você as insere e depois têm acesso a
todos os seus arquivos e dados.
4.1.16.14.7.12.Clone phishing: Os invasores podem pegar um e-mail legítimo e depois
“cloná-lo”, enviando exatamente o mesmo e-mail para todos os des natários
anteriores com uma alteração crucial: os links foram subs tuídos pelos links
maliciosos.
4.1.16.14.7.13.Manipulação de links: Ataque homográfico, ocorre quando o atacante
cria uma página similar a original e envia um link, também semelhante ao original,
para a ví ma Quando os links são clicados, levam para o site criado pelo atacante.
Os truques comuns incluem erros ortográficos propositais (por exemplo, “lado” x
“Lado”; o segundo tem um L maiúsculo) ou escrever o nome de um site confiável
como o texto de exibição do link.
4.1.16.14.7.14.Scrip ng entre sites: Phishers sofis cados podem explorar pontos
fracos nos scripts de um site para sequestrar o site para seus próprios fins. Scrip ng
entre sites é di cil de detectar, porque tudo no site parece ser legí mo, desde o
endereço até os certificados de segurança.
4.1.16.14.8. Com relação a Phishing, a contratada deverá realizar, dentre outros, os
seguintes testes:
4.1.16.14.8.1. Phishing por e-mail;
4.1.16.14.8.2. Phishing nos sites;
4.1.16.14.8.3. Vishing;
4.1.16.14.8.4. Smishing;
4.1.16.14.8.5. Phishing nas redes sociais;
4.1.16.14.8.6. Spear phishing;
4.1.16.14.8.7. Dropbox phishing;
4.1.16.14.8.8. Google Docs phishing;
4.1.16.14.8.9. Whaling;
4.1.16.14.8.10. Spear phishing;
4.1.16.14.8.11. Whaling;
4.1.16.14.8.12. Fraude de CEO;
4.1.16.14.8.13. Pharming;
4.1.16.14.8.14.Clone phishing;
4.1.16.14.8.15. Manipulação de links;
4.1.16.14.8.16. Scripting entre sites.
4.1.16.14.9. Para testes de invasão direcionados, especificamente, aos serviços
prestados via WEB, tanto Intranet quanto Internet, deverão ser observados e aplicados, os
seguintes testes baseados na publicação OWASP TESTING GUIDE (The Open Web
Applica on Security Project) mais recente. Os itens abaixo foram listados a par r do
OWASP TESTING GUIDE 4.1:
4.1.16.14.9.1. Para testes de coleta de informações, aplicar padrão: WSTG-INFO-01
ao WSTG-INFO-10;
4.1.16.14.9.2. Para testes de gerenciamento de configuração e deploy, aplicar
padrão: WSTG-CONF-01 ao WSTG-CONF-11;
4.1.16.14.9.3. Para testes de gerenciamento de iden dades, aplicar padrão: WSTG-
IDNT-01 ao WSTG-IDNT-05;
4.1.16.14.9.4. Para testes de auten cação, aplicar padrão: WSTG-ATHN-01 ao
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 42
WSTG-ATHN-10;
4.1.16.14.9.5. Para testes de autorização, aplicar padrão: WSTG-ATHZ-01 ao WSTG-
ATHZ-04;
4.1.16.14.9.6. Para testes de gerenciamento de sessão, aplicar padrão: WSTG-SESS-
01 ao WSTG-SESS-08;
4.1.16.14.9.7. Para testes de Teste de validação de entrada, aplicar padrão: WSTG-
INPV-01 ao WSTG-INPV-14;
4.1.16.14.9.8. Para testes de Manipulação de Erros, aplicar padrão: WSTG-ERRH-01
ao WSTG-ERRH-02;
4.1.16.14.9.9. Para testes de Criptografia, aplicar padrão: WSTG-CRYP-01 ao WSTG-
CRYP-02;
4.1.16.14.9.10. Para testes de lógica de negócio, aplicar padrão: WSTG-BUSL-01 a
WSTG-BUSL-09;
4.1.16.14.9.11. Para testes do lado do cliente (Client Side Tes ng), aplicar padrão:
WSTG-CLNT-01 ao WSTG-CLNT-13;
4.1.16.14.9.12. Para testes não previstos no OWASP TESTING GUIDE 4.0 ou 4.1 (The
Open Web Applica on Security Project) poderá ser u lizado o OWASP TESTING
GUIDE 3.0 (The Open Web Applica on Security Project) naquilo que for
complementar, visando sempre considerar o melhor resultado de análise.
4.1.16.14.10. Observa-se que o resultado de cada teste deverá vir acompanhado de
relatórios contendo, pelo menos:
4.1.16.14.10.1. Referência-base (Whitepaper);
4.1.16.14.10.2. Ameaças encontradas;
4.1.16.14.10.3. Riscos levantados ao ambiente computacional;
4.1.16.14.10.4. Contramedidas para mitigar as ameaças encontradas.
4.1.16.15. Relatório de Teste de Invasão:
4.1.16.15.1. Deverá ser elaborado em língua portuguesa obedecendo a norma culta
padrão e entregue ao CONTRATANTE após a fase de ataque, o relatório “RELATÓRIO
TESTE DE INVASÃO” para cada teste que será realizado, contemplando no mínimo
informações, tais como:
4.1.16.15.1.1. Obje vos, premissas e escopo do teste, datas e horas dos
testes, metodologia de análise de vulnerabilidades, descrição das ações
realizadas, metodologias, vulnerabilidades encontradas, categorização e
severidade das vulnerabilidades, possíveis problemas aplicáveis,
recomendações e controles de segurança necessários para correção das
vulnerabilidades, apresentação das evidências apuradas, fontes de pesquisa,
referências e ferramentas u lizadas, informações acessadas e demais
evidências do sucesso da invasão.
4.1.16.15.2. Após a fase de ataque, deverão ser atendidas e apresentadas no
Relatório, no mínimo, as seguintes informações detalhadas:
4.1.16.15.2.1. Detalhes da infraestrutura descoberta, alvo dos testes de
invasão;
4.1.16.15.2.2. Equipamentos e recursos demandados para este teste;
4.1.16.15.2.3. Tipos de ataque;
4.1.16.15.2.4. Prazos (janelas de tempo para execução dos testes);
4.1.16.15.2.5. Pontos de contato da contratada (responsáveis para tratamento
de questões abordadas nos testes);
4.1.16.15.2.6. Tipos de testes realizados pelos especialistas em segurança da
informação;
4.1.16.15.2.7. Confirmação ou refutação da existência de vulnerabilidades;
4.1.16.15.2.8. Documentação sobre o caminho u lizado para exploração,
avaliação do impacto e prova da existência da vulnerabilidade;
4.1.16.15.2.9. Obtenção de acesso e possível escalada de privilégios;
4.1.16.15.2.10. Detalhamento da metodologia do ataque;
4.1.16.15.2.11. Recomendações para sanar riscos e vulnerabilidades.
4.1.16.15.3. Como critério de conformidade, os subitens dos itens 4.1.16.15.1 e
4.1.16.15.2 do item 4.1.16.15 Relatório de Teste de Invasão serão considerados como
parâmetros para aceitação.
4.1.16.16. Reunião para apresentação do relatório de recomendações e descrição das
atividades executadas durante o teste;
4.1.16.16.1. Será realizada reunião conduzida pela Contratada, onde será
apresentado de forma detalhada todo o conteúdo do “Relatório Teste de Invasão”,
onde serão sanadas todas as dúvidas do corpo técnico do CONTRATANTE.
4.1.16.17. Relatório Final do Teste de Invasão:
4.1.16.17.1. Após a entrega do “RELATÓRIO DE TESTE DE INVASÃO”, o
CONTRATANTE analisará o documento para aplicar as recomendações, remediar os
riscos ou mesmo assumi-los.
4.1.16.17.2. Após essa análise e aplicadas medidas de remediação, o
CONTRATANTE poderá solicitar à CONTRATADA que refaça o teste de invasão para
aferição dos resultados com emissão de novo relatório, sem custo adicional para a
CONTRATANTE.
4.1.16.17.3. Iden ficadas inconformidades no relatório, a ordem de serviço será
passível de glosa conforme Tabela 11 e a CONTRATADA deverá providenciar as
devidas correções no prazo acordado com a CONTRATANTE.
4.1.16.18. Atividades de Apoio, dos testes de invasão:
4.1.16.18.1. Para auxílio das a vidades poderão, a critério do CONTRATANTE,
serem solicitados à CONTRATADA os seguintes documentos de apoio:
4.1.16.18.1.1. PLANO DE TRABALHO com o detalhamento do escopo dos testes
e cronograma de execução;
4.1.16.18.1.2. APRESENTAÇÃO INICIAL das ações a serem aplicadas pela
Contratada;
4.1.16.18.1.3. RELATÓRIOS DE ACOMPANHAMENTO SEMANAIS do plano de
trabalho.
4.1.16.19. Periodicidade de execução dos testes de invasão:
4.1.16.19.1. A CONTRATADA deverá realizar os Testes de Invasão conforme a
quantidade definida em Ordem de Serviço (OS);
4.1.16.19.2. O prazo para conclusão de cada Ordem de Serviço (OS), incluindo,
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 43
diagnós cos, análises, avaliações e testes com fornecimento de todos os relatórios
específicos de avaliação de vulnerabilidades, dos ambientes relacionados neste
Termo de Referência, será definido de acordo com cada a vidade, sendo divididas
em:
4.1.16.19.2.1. Atividades do Pentest;
4.1.16.19.2.2. Entrega do relatório “Teste de Invasão”;
4.1.16.19.2.3. Ações corre vas das vulnerabilidades apontadas pela
CONTRATADA e aplicadas pelo CONTRATANTE;
4.1.16.19.2.4. Reavaliação do Pentest pós remediação, quando necessário, e
a realização dessa a vidade não condicionará o atesto do serviço prestado
pela Ordem de Serviço que originou, onde a realização ação corre va não
dependa exclusivamente do Ministério;
4.1.16.19.2.5. Entrega do relatório “Relatório Final do Teste de Invasão”.
4.1.16.20. A CONTRATADA deverá informar à CONTRATANTE da lista das correções ou
soluções de contorno que minimizem/corrijam as vulnerabilidades apontadas pelo Relatório
“Teste de Invasão” a par r do final da “Reunião para apresentação do relatório de
recomendações e descrição das atividades executadas durante o teste”.
4.1.16.21. Para a realização dos serviços a CONTRATADA deverá arcar com todos os
custos diretos e indiretos inerentes a u lização de soluções tecnológicas e seus
licenciamentos necessários.
4.1.16.21.1. Quando a realização dos serviços ocorrer nas instalações da Contratante, a
u lização das soluções tecnológicas deverão ser previamente autorizadas pela
Contratante.
4.2. Requisitos de Capacitação
4.2.1. Para os itens 1, 2, 3 e 4 não se aplicam os requisitos de capacitação, uma vez que
trata-se de uma contratação para prestação de serviços de TI, des nados à proteção dos
equipamentos e estações de trabalho, sistemas e a vos de rede do Ministério da Jus ça e
Segurança Pública.
4.3. Requisitos Legais
4.3.1. A CONTRATADA deverá observar, na execução do serviço, leis, polí cas, modelos
ou padrões de governo e as boas práticas no tema gestão e governança de dados.
4.3.2. A CONTRATADA deverá observar também os seguintes ordenamentos jurídicos:
4.3.2.1. Lei Nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados
Pessoais (LGPD) - dispõe sobre o tratamento de dados pessoais, inclusive nos meios
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o
obje vo de proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural;
4.3.2.2. Lei Nº 12.682, de 9 de julho de 2012, dispõe sobre a elaboração e o
arquivamento de documentos em meios eletromagnéticos;
4.3.2.3. Lei Nº 12.527, de 18 de novembro de 2011, regula o acesso a informações
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da
Cons tuição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº
11.111, de 5 de maio de 2005, e disposi vos da Lei nº 8.159, de 8 de janeiro de 1991; e dá
outras providências;
4.3.2.4. Decreto Nº 10.222, de 05 de fevereiro de 2022, que aprova a Estratégia
Nacional de Segurança Cibernética.
4.3.2.5. Decreto Nº - 8.789, de 29 de junho de 2016, dispõe sobre o
compartilhamento de bases de dados na administração pública federal;
4.3.2.6. Decreto Nº 8.777, de 11 de maio de 2016, ins tui a Polí ca de Dados
Abertos do Poder Executivo Federal;
4.3.2.7. Decreto Nº 7.724, de 16 de maio de 2012, regulamenta a Lei nº 12.527, de
18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII
do caput do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição;
4.3.2.8. Decreto Nº 6.666, de 27 de novembro de 2008, Infraestrutura Nacional de
Dados Espaciais - INDE, com o obje vo de: I - promover o adequado ordenamento na
geração, no armazenamento, no acesso, no compar lhamento, na disseminação e no uso
dos dados geoespaciais de origem federal, estadual, distrital e municipal, em proveito do
desenvolvimento do País; II - promover a u lização, na produção dos dados geoespaciais
pelos órgãos públicos das esferas federal, estadual, distrital e municipal, dos padrões e
normas homologados pela Comissão Nacional de Cartografia - CONCAR; e III - evitar a
duplicidade de ações e o desperdício de recursos na obtenção de dados geoespaciais pelos
órgãos da administração pública, por meio da divulgação dos metadados rela vos a esses
dados disponíveis nas en dades e nos órgãos públicos das esferas federal, estadual,
distrital e municipal;
4.3.2.9. Instrução Norma va Nº 4, 12 de abril de 2012, ins tui a Infraestrutura
Nacional de Dados Abertos – INDA;
4.3.2.10. Instrução Norma va Nº 1, da SGD/ME, de 4 de abril de 2019, que dispõe
sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação -
TIC pelos órgãos e en dades integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação - SISP do Poder Executivo Federal;
4.3.2.11. Portaria do Ministério da Jus ça 3.530/2013 - Polí ca da Segurança de
Informação, ou outra que venha à substituí-la;
4.3.2.12. Decreto Nº 10.748, de 16 de julho de 2021, ins tui a Rede Federal de Gestão
de Incidentes Cibernéticos.
4.3.2.13. Adotar programa de integridade conforme portaria 513 do Ministério da
justiça SEI (13669505).
4.4. Requisitos de Manutenção
4.4.1. O Ministério da Jus ça e Segurança Pública somente autorizará que a
CONTRATADA faça inventários nos equipamentos/serviços/so wares quando solicitado
formalmente.
4.4.2. A CONTRATADA deve assegurar que as soluções de hardware e so ware que
disponibilizar em complemento as soluções disponíveis no CONTRATANTE, relacionados aos itens
do objeto, permaneçam sempre atualizados.
4.4.3. Os chamados técnicos somente deverão ser encerrados após expressa anuência do
Gestor do Contrato ou do Fiscal Técnico.
4.4.4. Caso o técnico da CONTRATADA enseje dano irreparável a equipamento (s), ou
sistema (s) ou dado (s) do Ministério da Jus ça e Segurança Pública, por conta de conduta
an profissional, erro ou quaisquer outros mo vos fica a CONTRATADA obrigada a realizar a troca
por equipamento igual ou superior ao que foi danificado ou normalização do sistema afetado.
4.5. Requisitos Temporais
4.5.1. A reunião inicial de alinhamento deverá ocorrer após a assinatura do Contrato e
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 44
ser executada em, no máximo, 5 (cinco) dias úteis após a assinatura do Contrato.
4.5.2. Para os itens 1 e 2 a CONTRATADA deverá atender aos Chamados Técnicos de
acordo com o item Níveis Mínimos de Serviços Exigidos neste Termo de Referência.
4.5.3. Para o item 3 e Item 4 a CONTRATADA deverá atender às ordens de
serviço emi das, de acordo com o item Níveis Mínimos de Serviços Exigidos neste Termo de
Referência.
4.6. Requisitos de Segurança
4.6.1. Apresentar os empregados devidamente uniformizados e iden ficados por meio de
crachá, além de provê-los com os Equipamentos de Proteção Individual - EPI, quando for o caso.
4.6.2. Apresentar à CONTRATANTE, quando for o caso, a relação nominal dos
empregados que adentrarão o órgão para a execução do serviço.
4.6.3. Demais requisitos de segurança são abordados no item requisitos de segurança da
informação.
4.7. Requisitos Sociais, Ambientais e Culturais
4.7.1. A CONTRATADA deverá adotar prá cas de sustentabilidade ambiental na execução
do objeto, quando couber, conforme disposto na Instrução Norma va SLTI/MP nº 01/2010, de 19
de janeiro de 2010.
4.7.2. Os serviços prestados pela CONTRATADA deverão pautar-se sempre no uso
racional de recursos e equipamentos, de forma a evitar e prevenir o desperdício de insumos e
materiais consumidos bem como a geração excessiva de resíduos, a fim de atender às diretrizes
de responsabilidade ambiental adotadas pela CONTRATANTE.
4.8. Requisitos de Arquitetura Tecnológica
4.8.1. A CONTRATADA deverá disponibilizar ao Ministério da Jus ça e Segurança Pública
Arquitetura Tecnológica implementada para a prestação dos serviço atualizada e compa vel com
as necessidades do Ministério da Justiça e Segurança Pública.
4.9. Requisitos de Projeto e de Implementação
4.9.1. A CONTRATADA deverá disponibilizar ao Ministério da Jus ça e Segurança Pública
o Plano de Implantação e Cronograma Detalhado conforme consta na seção Deveres e
responsabilidades da CONTRATADA.
4.10. Requisitos de Implantação
4.10.1. Tendo em vista que a presente contratação diz respeito à contratação de serviços,
a CONTRATADA, no que couber, será responsável pela implantação/disponibilização dos serviços
contratados.
4.11. Requisitos de Garantia Contratual
4.11.1. O adjudicatário prestará garan a de execução do Contrato, nos moldes do art. 56
da Lei nº 8.666, de 1993, com validade durante a execução do contrato e por 90 (noventa) dias
após o término da vigência contratual, em valor correspondente a 5% (cinco por cento) do valor
total do contrato.
4.11.2. No prazo máximo de 10 (dez) dias úteis, prorrogáveis por igual período, a critério
da CONTRATANTE, contados da assinatura do Contrato, a CONTRATADA deverá apresentar
comprovante de prestação de garantia, podendo optar por caução em dinheiro ou títulos da dívida
pública, seguro-garantia ou fiança bancária.
4.11.3. A inobservância do prazo fixado para apresentação da garan a acarretará a
aplicação de multa de 0,07% (sete centésimos por cento) do valor total do Contrato por dia de
atraso, até o máximo de 2% (dois por cento).
4.11.4. O atraso superior a 25 (vinte e cinco) dias autoriza a Administração a promover a
rescisão do Contrato por descumprimento ou cumprimento irregular de suas cláusulas, conforme
dispõem os incisos I e II do art. 78 da Lei n. 8.666 de 1993.
4.11.5. A validade da garantia, qualquer que seja a modalidade escolhida, deverá abranger
um período de 90 dias após o término da vigência contratual, conforme item 3.1 do Anexo VII-F da
IN SEGES/MP nº 5/2017.
4.11.6. A garantia assegurará, qualquer que seja a modalidade escolhida, o pagamento de:
4.11.6.1. prejuízos advindos do não cumprimento do objeto do Contrato e do não
adimplemento das demais obrigações nele previstas;
4.11.6.2. prejuízos diretos causados à Administração decorrentes de culpa ou dolo
durante a execução do Contrato;
4.11.6.3. multas moratórias e puni vas aplicadas pela Administração à CONTRATADA;
e
4.11.6.4. obrigações trabalhistas e previdenciárias de qualquer natureza e para com o
FGTS, não adimplidas pela CONTRATADA, quando couber.
4.11.7. A modalidade seguro-garantia somente será aceita se contemplar todos os eventos
indicados no item anterior, observada a legislação que rege a matéria.
4.11.8. A garan a em dinheiro deverá ser efetuada em favor da CONTRATANTE, em conta
específica na Caixa Econômica Federal, com correção monetária.
4.11.9. Caso a opção seja por u lizar tulos da dívida pública, estes devem ter sido
emi dos sob a forma escritural, mediante registro em sistema centralizado de liquidação e de
custódia autorizado pelo Banco Central do Brasil, e avaliados pelos seus valores econômicos,
conforme definido pelo Ministério da Fazenda.
4.11.10. No caso de garan a na modalidade de fiança bancária, deverá constar expressa
renúncia do fiador aos benefícios do artigo 827 do Código Civil.
4.11.11. No caso de alteração do valor do Contrato, ou prorrogação de sua vigência, a
garan a deverá ser ajustada à nova situação ou renovada, seguindo os mesmos parâmetros
utilizados quando da contratação.
4.11.12. Se o valor da garan a for u lizado total ou parcialmente em pagamento de
qualquer obrigação, a CONTRATADA obriga-se a fazer a respec va reposição no prazo máximo de
15 (quinze) dias úteis, contados da data em que for notificada.
4.11.13. A CONTRATANTE executará a garan a na forma prevista na legislação que rege a
matéria.
4.11.14. Será considerada extinta a garantia:
4.11.14.1. com a devolução da apólice, carta fiança ou autorização para o
levantamento de importâncias depositadas em dinheiro a tulo de garan a, acompanhada
de declaração da CONTRATANTE, mediante termo circunstanciado, de que a CONTRATADA
cumpriu todas as cláusulas do Contrato;
4.11.14.2. no prazo de 90 (noventa) dias após o término da vigência do Contrato, caso
a Administração não comunique a ocorrência de sinistros, quando o prazo será ampliado,
nos termos da comunicação, conforme estabelecido na alínea "h2"do item 3.1 do Anexo
VII-F da IN SEGES/MP n. 05/2017.
4.11.15. O garan dor não é parte para figurar em processo administra vo instaurado pela
CONTRATANTE com o objetivo de apurar prejuízos e/ou aplicar sanções à CONTRATADA.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 45
4.11.16. A CONTRATADA autoriza a CONTRATANTE a reter, a qualquer tempo, a garan a,
na forma prevista no neste Edital e no Contrato.
4.12. Requisitos de Perfis e Experiência Profissional
4.12.1. Para que haja garan a de qualidade no serviço executado e modernização das
metodologias de Gestão de Risco e Segurança da Informação, a CONTRATADA deverá manter
profissionais qualificados nas áreas funcionais, que deverão ser gerenciados exclusivamente pelo
representante técnico da empresa CONTRATADA, de forma que o CONTRATANTE possa obter o
menor tempo de resposta para quaisquer incidentes ocorridos no seu ambiente de Infraestrutura
tecnológica, bem como alcançar a excelência no serviço de TI;
4.12.2. Esses recursos humanos deverão conhecer o funcionamento dos negócios internos
da DTIC e demais áreas do Ministério, bem com executar os procedimentos de acordo com as
regras de segurança;
4.12.3. As equipes deverão ser dimensionadas pela empresa CONTRATADA de forma a
atender as demandas de acordo com os níveis mínimos de serviço exigidos estabelecidos. Para
tanto, salienta-se que essa responsabilidade de formação da equipe de profissionais é exclusiva
da empresa CONTRATADA;
4.12.4. Será de responsabilidade da CONTRATADA o cumprimento da legislação específica
dos profissionais que prestarão o serviço à CONTRATANTE;
4.12.5. Os profissionais deverão u lizar ves menta compa vel com a u lizada
pelos servidores do MJSP e portar crachá de iden ficação durante toda a prestação
de serviço, quando de atuação presencial nas dependências do MJSP;
4.12.6. A CONTRATADA será responsável por qualquer deslocamento dos profissionais
relacionados a execução do presente contrato. O tempo de deslocamentos não poderão ser
utilizado para justificar o descumprimento dos Níveis Mínimos de Serviço Exigidos;
4.12.7. Durante a execução dos serviços, a CONTRATADA deverá disponibilizar os
profissionais com as qualificações especificadas neste Termo de Referência. As cer ficações
devem estar a vas/válidas. As competências descritas podem estar presentes em diversos
profissionais, cabendo a CONTRATADA manter o número adequado de prestadores para cada
atividade, respeitando apenas o quantitativo mínimo porém não se limitando a ele;
4.12.8. A CONTRATADA terá um prazo de 90 dias para se adequar aos requisitos
exigidos de cer ficações de seus profissionais, prazo esse que se inicia a par r da data da
reunião inicial após a assinatura contratual e o mesmo pode ser renovado uma única vez por
mais 90 dias, desde de que a CONTRATADA apresente justificativa a CONTRATANTE;
4.12.9. Durante a vigência contratual e a qualquer tempo, os profissionais da
CONTRATADA serão avaliados pela CONTRATANTE, a qual poderá solicitar a subs tuição destes,
caso não estejam correspondendo às necessidades e requisitos para cada perfil. Esta
subs tuição deverá ocorrer em até 15 quinze dias, contados a par r da no ficação por parte da
CONTRATANTE;
4.12.10. Serão aceitos como documentos válidos para comprovação de qualificação técnica
os documentos citados pela legislação trabalhista, tais como: Carteira de Trabalho e Previdência
Social, Contrato de Trabalho, Recibo de Pagamento de Trabalhador Autônomo, Sócio, Diretor.
Quando a descrição con da nestes documentos não for suficiente para a comprovação da
experiência exigida, estes poderão ser complementados com atestado(s) ou declaração(ões),
descrevendo as a vidades realizadas pelo profissional, expedido(s) por pessoa jurídica de direito
público ou privado;
4.12.11. Para a qualificação em conhecimentos exigidos para a execução dos serviços serão
aceitos cer ficados de par cipação em cursos e/ou cer ficações emi das por ins tuições
certificadoras especializadas;
4.12.12. Todos os profissionais que compõem a equipe devem possuir residência sica e
fixa em território nacional e prestar os seus serviços em instalações sediadas no país;
4.12.13. Durante a execução deste serviço a CONTRATADA deverá disponibilizar os
profissionais com as qualificações abaixo especificadas:
4.12.13.1. Formação: Nível Superior completo em uma das seguintes áreas: Análise
de Sistemas, Ciência da Computação, Processamento de Dados, Sistemas de Informação,
Informá ca, Engenharia da Computação, Segurança da Informação ou curso superior
completo em qualquer área e especialização, com no mínimo 360 horas, na área
de segurança da informação.
4.12.13.2. Serviço de Security Operations Center - SOC:
4.12.13.2.1. Certificações para a função de Analista(s) SOC:
4.12.13.2.1.1. AZ-500: Microso Azure Security Technologies (Microso ) -
Pelo menos um profissional
4.12.13.2.1.2. CompTIA Security+ (CompTIA) - Pelo menos um profissional;
4.12.13.2.1.3. For net Network Security Expert 4 – NSE4 (For net)- Pelo menos
um profissional;
4.12.13.2.1.4. Cer ficação ITILv3 Founda on ou superior - Pelo menos um
profissional.
4.12.13.2.2. Experiência profissional para a função de Analista(s) SOC:
4.12.13.2.2.1. Experiência mínima de 4 (quatro) anos em u lização de
analisadores de protocolo para realização de troubleshoo ng em plataformas
SIEM;
4.12.13.2.2.2. Experiência mínima de 2 (dois) anos em implantação,
administração e gerência de centralizador de logs;
4.12.13.2.2.3. Experiência mínima de 2 (dois) anos em administração de
sistemas operacionais Linux;
4.12.13.2.2.4. Experiência mínima de 2 (dois) anos em administração de
sistemas operacionais Windows Server 2012 ou superior;
4.12.13.2.2.5. Experiência mínima de 2 (dois) anos em analise forense, como
analise logs, correlacionamento de eventos, resposta a incidentes de
segurança da informação (cibernética);
4.12.13.3. Serviço de Tratamento e Resposta aos Incidentes Ciberné cos -
CSIRT - Blue Team:
4.12.13.3.1. Certificações para a função de Especialista(s) Blue Team:
4.12.13.3.1.1. AZ-500: Microsoft Azure Security Technologies (Microsoft)-
Ao menos um profissional
4.12.13.3.1.2. Cer fied Informa on Systems Security Professional - CISSP
(ISC²) ou Cer fied Cloud Security Professional - CCSP (ISC²) - Pelo menos
um profissional;
4.12.13.3.1.3. CompTIA Cibersecurity Analyst - CySA+ (CompTIA) -
Pelo menos um profissional;
4.12.13.3.1.4. Cer fied Ethical Hacker - CEH (EC-Council) - Pelo menos
um profissional;
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 46
4.12.13.3.1.5. CERTIFIED NETWORK DEFENDER - CND (EC-Council) -
Pelo menos um profissional;
4.12.13.3.1.6. For net Network Security Expert 4 – NSE4 (For net) -
Pelo menos um profissional;
4.12.13.3.1.7. For Web Specialist Exam (for net) - Pelo menos um
profissional;
4.12.13.3.1.8. Cer ficação ITILv3 Founda on ou superior - Pelo menos
um profissional.
4.12.13.3.2. Experiência profissional para a função de Especialista(s) Blue Team:
4.12.13.3.2.1. Experiência mínima de 8 (oito) anos em u lização de
analisadores de protocolo para realização de troubleshoo ng em
plataformas de SIEM;
4.12.13.3.2.2. Experiência mínima de 8 (oito) anos em implantação,
administração e gerência de centralizador de logs;
4.12.13.3.2.3. Experiência mínima de 8 (oito) anos em administração de
sistemas operacionais Linux e Windows Server 2012 ou superior;
4.12.13.3.2.4. Experiência mínima de 4 (quatro) anos em a vidades
de Tratamento e Resposta aos Incidentes Cibernéticos Blue Team;
4.12.13.3.2.5. Experiência mínima de 4 (quatro) anos em analise forense,
como analise de logs, correlacionamento de eventos, resposta a
incidentes de segurança da informação (cibernética);
4.12.13.4. Serviço de Teste de Invasão - Red Team:
4.12.13.4.1. Certificações para a função de Especialista(s) Red Team:
4.12.13.4.1.1. Licensed Penetra on Tester - LPT (EC-Council), Cer fied
Penetra on Tes ng Professional - CPENT (EC-Council), Cer fied Expert
Penetra on Tester – CEPT (IACRB), Exploit Researcher and Advanced
Penetra on Tester – GXPN (GIAC) ou Offensive Security Cer fied Professional -
OSCP (Offensive Security) - Ao menos um profissional;
4.12.13.4.1.2. Cer fied Ethical Hacker - CEH (EC-Council) - Pelo menos um
profissional;
4.12.13.4.1.3. Cer ficação ITILv3 Founda on ou superior - Pelo menos um
profissional.
4.12.13.4.2. Experiência profissional para a função de Especialista(s) Red Team:
4.12.13.4.2.1. Experiência mínima de 8 (oito) anos em administração de
sistemas operacionais Linux e Windows Server 2012 ou superior;
4.12.13.4.2.2. Experiência mínima de 4 (quatro) anos em a vidades de Teste
de Invasão - Red Team;
4.12.14. A comprovação dos requisitos deverá ser composta de:
4.12.14.1. Documento digitalizado com apresentação de documento original válido ou
a va, cópia auten cada ou documento digital em que seja possível comprovar
a autenticidade em site do emissor.
4.12.14.2. Experiência deverá ser comprovada através da carteira de trabalho, atestado
de capacidade ou documentos formais e oficiais emi dos por terceiros que contrataram o
serviço realizado pelo profissional, não sendo aceito currículo vitae ou informações de rede
sociais;
4.12.14.3. Todos os documentos apresentados estarão sujeitos à diligência
do CONTRATANTE para fins de confirmação das informações prestadas;
4.12.14.4. A CONTRATADA deverá promover, no prazo máximo de 90 dias, a
atualização das cer ficações de seus profissionais caso haja expiração, atualização
de versão ou migração para uma nova solução de TI devido a modernização do ambiente
tecnológico do CONTRATANTE. Este prazo se iniciará a par r da comunicação formal do
CONTRATANTE.
4.12.14.4.1. Caso uma cer ficação não seja mais válida, será aceita a nova
certificação que substituiu a anterior.
4.12.15. Não existe restrição ou limite para acumulo de perfis em um mesmo profissional,
uma vez que é de responsabilidade da CONTRATADA definir o quan ta vo de profissionais
envolvidos para cada serviço, porém, este(s) deve(m) compor única e exclusivamente a equipe ao
qual foi apresentado em atendimento ao requisito da respectiva certificação.
4.13. Requisitos de Formação da Equipe
4.13.1. A CONTRATADA deverá formar uma equipe com atributos de alta performance:
par cipação; responsabilidade dos membros pelos resultados; clareza de obje vos; existência de
um clima aberto e confiável entre os membros da equipe; flexibilidade; focalização; cria vidade e
ação rápida sobre problemas e oportunidades. Além das cer ficações necessárias conforme cada
serviço.
4.14. Requisitos de Metodologia de Trabalho
4.14.1. A CONTRATADA deverá nomear preposto para atuar como ponto de contato do
CONTRATANTE em relação ao eventual descumprimento dos termos de serviço, exceto para
assuntos de caráter técnico.
4.14.2. Atender prontamente quaisquer orientações e exigências da Equipe de Fiscalização
do Contrato, inerentes à execução do objeto contratual;
4.14.3. Reparar quaisquer danos diretamente causados à contratante ou a terceiros por
culpa ou dolo de seus representantes legais, prepostos ou empregados, em decorrência da
relação contratual, não excluindo ou reduzindo a responsabilidade da fiscalização ou o
acompanhamento da execução dos serviços pela contratante;
4.14.4. Propiciar todos os meios necessários à fiscalização do contrato pela contratante,
cujo representante terá poderes para sustar o fornecimento, total ou parcial, em qualquer tempo,
sempre que considerar a medida necessária;
4.14.5. Manter, durante toda a execução do contrato, as mesmas condições da
habilitação;
4.14.6. Quando especificada, manter, durante a execução do contrato, equipe técnica
composta por profissionais devidamente habilitados, treinados e qualificados para fornecimento
da solução de TIC;
4.15. Requisitos de Segurança da Informação
4.15.1. Os funcionários da CONTRATADA deverão obedecer às diretrizes, normas e
procedimentos da Política de Segurança da Informação e Comunicações do Órgão, assim como:
4.15.1.1. Manter sigilo sobre todo e qualquer assunto de interesse do Órgão ou de
terceiros de que tomar conhecimento em razão da execução do Contrato, devendo orientar
seus empregados nesse sentido.
4.15.1.2. Não veicular publicidade acerca dos serviços contratados, sem prévia
autorização, por escrito, do Ministério.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 47
4.15.1.3. Manter em caráter confidencial, mesmo após o término do prazo de vigência
ou rescisão do Contrato, as informações rela vas à Polí ca de Segurança adotada pelo
Órgão e às configurações de hardware e de so wares decorrentes, bem como as
informações rela vas ao processo de instalação, configuração e adaptações de produtos,
ferramentas e equipamentos da solução ou quaisquer outro po de informação ou dado
obtido por conta da contratação.
4.15.2. A CONTRATADA não poderá se u lizar da presente aquisição para obter qualquer
acesso não autorizado as informações de propriedade do Ministério da Jus ça e Segurança
Pública.
4.15.3. A CONTRATADA não pode obter, capturar, copiar ou transferir qualquer po
informação de propriedade do Ministério da Justiça e Segurança Pública, sem autorização.
4.15.4. A CONTRATADA deverá assinar Termo de Compromisso previsto no Anexo I - F.
4.15.5. A CONTRATADA deverá atender à legislação, principalmente à Instrução Norma va
GSI/PR nº 01, de 13.06.2008, do Gabinete de Segurança Institucional da Presidência da República,
a qual disciplina a gestão de segurança da Informação e Comunicações na Administração Pública
Federal, bem como ao Decreto nº 3505, de 13 de junho de 2000, que ins tui a Polí ca de
Segurança da Informação nos órgãos e entidades da Administração Pública Federal.
4.15.6. A CONTRATANTE garan rá acesso a todos os logs e mecanismos de auditoria para
a CONTRATADA, quando solicitado e previamente justificado;
4.15.7. Quando houver a custódia de conhecimentos, informações e dados pelo prestador
de serviços, a CONTRATADA deverá cumprir com as seguintes diretivas:
4.15.7.1. Garantia de foro brasileiro;
4.15.7.2. Garantia de aplicabilidade da legislação brasileira;
4.15.7.3. Garan a de que o acesso aos dados, metadados, informações e
conhecimentos u lizados e/ou armazenados na solução, ferramentas, so ware,
infraestrutura ou em qualquer outro recurso que a CONTRATADA u lize para a prestação
de serviços somente serão acessados pelo CONTRATANTE e serão protegidos de acessos
de outros clientes e de colaboradores da CONTRATADA;
4.15.7.4. Garan a de que, em qualquer hipótese, a Administração Pública Federal
tenha a tutela absoluta sobre os conhecimentos, informações e dados produzidos pelos
serviços;
4.15.7.5. Garan a de vedação de uso não corpora vo dos conhecimentos,
informações e dados pelo prestador de serviço, bem como a redundância não autorizada;
4.15.7.6. Garan a de que a solução faça uso de criptografia nas camadas e protocolos
de redes de ativos computacionais para os dados em trânsito e/ou armazenados;
4.15.7.7. Garantia de acesso do CONTRATANTE a logs e mecanismos de auditoria; e
4.15.7.8. Garan a de manutenção de cópias de segurança (backup), durante toda a
vigência contratual, de dados, metadados, informações e/ou conhecimentos custodiados
pela CONTRATADA.
4.15.8. Eventos e incidentes ciberné cos devem ser comunicados através de canais
predefinidos de comunicação, disponibilizados pela CONTRATADA, de maneira rápida e eficiente
e de acordo com os requisitos legais, regulatórios e contratuais.
4.15.9. Para os itens 1 e 2 da Tabela 1, a CONTRATADA deverá oferecer, no mínimo:
4.15.9.1. Acesso ao centro de conformidade de segurança, um console baseado na
Web para gerenciar funções relacionadas à segurança e conformidade, como prevenção de
perda de dados, descoberta eletrônica e retenção;
4.15.9.2. Permi r o gerenciamento de ameaças, como filtragem de mensagens e an -
malware;
4.15.9.3. Permi r gerenciar o ciclo de vida do conteúdo gerado, por meio de
configuração de mecanismos de importação de massa, de arquivamento e do uso de
polí cas de retenção de conteúdo, além de mecanismos de monitoramento dos dados,
gerenciamento de caixas de correio inativas e gerenciamento de registros.
4.16. Outros Requisitos Aplicáveis
4.16.1. Requisitos de Vistoria
4.16.1.1. Para o correto dimensionamento e elaboração de sua proposta, será facultado à
LICITANTE realizar vistoria para conhecer a infraestrutura e as instalações do CONTRATANTE.
Para tanto poderá encaminhar representante capacitado para realizar visita às instalações do
Órgão específico nos locais indicados no item "Locais de entrega". Nesta ocasião a empresa
assinará compromisso de guardar sigilo sobre todas as informações relativas ao contratante.
4.16.1.2. O prazo para vistoria iniciar-se-á no dia ú l seguinte ao da publicação do Edital,
estendendo até o dia útil anterior à data prevista para a abertura da sessão pública.
4.16.1.3. Para a vistoria o licitante, ou o seu representante legal, deverá estar devidamente
iden ficado, apresentando documento de iden dade civil e documento expedido pela empresa
comprovando sua habilitação para a realização da vistoria.
4.16.1.4. O agendamento deverá ser realizado de segunda a sexta, em horário
comercial, por meio eletrônico e-mail: crs@mj.gov.br. O Ministério recomenda que esta marcação
seja feita com a maior antecedência possível, para evitar congestionamento de vistorias.
4.16.1.5. Quando da vistoria ao local dos serviços, as LICITANTES devem se inteirar de todos
os aspectos referentes à execução do fornecimento, não se admi ndo, posteriormente, qualquer
alegação de desconhecimento dos mesmos.
4.16.1.6. Para todos os efeitos, considerar-se-á que a LICITANTE, optante pela realização de
vistoria ou não, tem pleno conhecimento da natureza e do escopo dos serviços, não se admi ndo,
posteriormente, qualquer alegação de desconhecimento dos serviços e de dificuldades técnicas
não previstas.
4.16.1.7. Efetuada a vistoria será lavrado, por representante da equipe técnica, designado
para tanto, o respec vo Termo de Vistoria, conforme modelo do ANEXO I-D- MODELO DE
DECLARAÇÃO DE VISTORIA, o qual deverá ser preenchido e assinado pelo interessado em
participar da licitação, anexando, oportunamente, à sua habilitação.
4.16.1.8. A não realização da vistoria, quando faculta va, não poderá embasar posteriores
alegações de desconhecimento das instalações, dúvidas ou esquecimentos de quaisquer
detalhes dos locais da prestação dos serviços, devendo a licitante vencedora assumir os ônus dos
serviços decorrentes.
4.16.1.9. Caso a LICITANTE renuncie à vistoria técnica aos locais de instalação das licenças,
deverá entregar a Declaração de Renúncia à Vistoria, conforme modelo do ANEXO I - G -
MODELO DE DECLARAÇÃO DE RENÚNCIA À VISTORIA, o qual deverá ser preenchido e assinado
pelo interessado em participar da licitação, anexando, oportunamente, à sua habilitação.
4.16.2. Subcontratação
4.16.2.1. Não será admi da a subcontratação do objeto licitatório total ou parcial, não
sendo permi da, outrossim, a associação da CONTRATADA com outrem, a cessão ou
transferência total ou parcial do objeto do contrato.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 48
5. RESPONSABILIDADES
5.1. Deveres e responsabilidades da CONTRATANTE
5.1.1. Nomear Gestor e Fiscais Técnico, Administra vo e Requisitante do contrato para
acompanhar e fiscalizar a execução dos contratos;
5.1.2. Encaminhar formalmente a demanda por meio de Ordem de Serviço ou de
Fornecimento de Bens, de acordo com os critérios estabelecidos no Termo de Referência ou
Projeto Básico;
5.1.3. Receber o objeto fornecido pela contratada que esteja em conformidade com a
proposta aceita, conforme inspeções realizadas;
5.1.4. Aplicar à contratada as sanções administra vas regulamentares e contratuais
cabíveis;
5.1.5. Liquidar o empenho e efetuar o pagamento à contratada, dentro dos prazos
preestabelecidos em contrato;
5.1.6. Comunicar à contratada todas e quaisquer ocorrências relacionadas com o
fornecimento da solução de TIC;
5.1.7. Definir produ vidade ou capacidade mínima de fornecimento da solução de TIC por
parte da contratada, com base em pesquisas de mercado, quando aplicável; e
5.1.8. Prever que os direitos de propriedade intelectual e direitos autorais da solução de
TIC sobre os diversos artefatos e produtos produzidos em decorrência da relação contratual,
incluindo a documentação, o código-fonte de aplicações, os modelos de dados e as bases de
dados, pertençam à Administração;
5.1.9. Exigir o cumprimento de todas as obrigações assumidas pela Contratada, de
acordo com as cláusulas contratuais e os termos de sua proposta.
5.1.10. Exercer o acompanhamento e a fiscalização dos serviços, por servidor
especialmente designado, anotando em registro próprio as falhas detectadas, indicando dia, mês
e ano, bem como o nome dos empregados eventualmente envolvidos, e encaminhando os
apontamentos à autoridade competente para as providências cabíveis.
5.1.11. No ficar a Contratada por escrito da ocorrência de eventuais imperfeições no
curso da execução dos serviços, fixando prazo para a sua correção.
5.1.12. Permi r acesso dos empregados da Contratada às suas dependências para a
execução dos serviços.
5.1.13. Prestar as informações e os esclarecimentos per nentes que venham a ser
solicitados pelo representante ou preposto da Contratada.
5.1.14. Disponibilizar as instalações com espaço sico, o mobiliário e as estações de
trabalho necessárias à execução dos serviços nas dependências do Ministério.
5.2. Deveres e responsabilidades da CONTRATADA
5.2.1. Indicar formalmente preposto apto a representá-lo junto à contratante, que deverá
responder pela fiel execução do contrato;
5.2.2. Atender prontamente quaisquer orientações e exigências da Equipe de Fiscalização
do Contrato, inerentes à execução do objeto contratual;
5.2.3. Reparar quaisquer danos diretamente causados à contratante ou a terceiros por
culpa ou dolo de seus representantes legais, prepostos ou empregados, em decorrência da
relação contratual, não excluindo ou reduzindo a responsabilidade da fiscalização ou o
acompanhamento da execução dos serviços pela contratante;
5.2.4. Propiciar todos os meios necessários à fiscalização do contrato pela contratante,
cujo representante terá poderes para sustar o fornecimento, total ou parcial, em qualquer tempo,
sempre que considerar a medida necessária;
5.2.5. Manter, durante toda a execução do contrato, as mesmas condições da
habilitação;
5.2.6. Quando especificada, manter, durante a execução do contrato, equipe técnica
composta por profissionais devidamente habilitados, treinados e qualificados para fornecimento
da solução de TIC;
5.2.7. Quando especificado, manter a produ vidade ou a capacidade mínima de
fornecimento da solução de TIC durante a execução do contrato; e
5.2.8. Ceder os direitos de propriedade intelectual e direitos autorais da solução de TIC
sobre os diversos artefatos e produtos produzidos em decorrência da relação contratual, incluindo
a documentação, os modelos de dados e as bases de dados à Administração;
5.2.9. Executar os serviços conforme especificações deste Termo de Referência e de sua
proposta, além de fornecer os materiais e equipamentos, ferramentas e utensílios necessários,
se for o caso, na qualidade e quan dade especificadas neste Termo de Referência e em sua
proposta.
5.2.10. Responsabilizar-se pelos vícios e danos decorrentes da execução do objeto, de
acordo com os ar gos 14 e 17 a 27, do Código de Defesa do Consumidor (Lei nº 8.078, de 1990),
ficando a CONTRATANTE autorizada a descontar da garan a, caso exigida no edital, ou dos
pagamentos devidos à Contratada, o valor correspondente aos danos sofridos.
5.2.11. U lizar empregados habilitados e com conhecimentos básicos dos serviços a
serem executados, em conformidade com as normas e determinações em vigor.
5.2.12. Responsabilizar-se por todas as obrigações trabalhistas, sociais, previdenciárias,
tributárias e as demais previstas na legislação específica, cuja inadimplência não transfere
responsabilidade à CONTRATANTE.
5.2.13. Relatar à CONTRATANTE toda e qualquer irregularidade verificada no decorrer da
prestação dos serviços.
5.2.14. Não permi r a u lização de qualquer trabalho do menor de dezesseis anos, exceto
na condição de aprendiz para os maiores de quatorze anos; nem permi r a u lização do trabalho
do menor de dezoito anos em trabalho noturno, perigoso ou insalubre.
5.2.15. Guardar sigilo sobre todas as informações ob das em decorrência do cumprimento
do contrato.
5.2.16. Arcar com o ônus decorrente de eventual equívoco no dimensionamento dos
quan ta vos de sua proposta, devendo complementá-los, caso o previsto inicialmente em sua
proposta não seja sa sfatório para o atendimento ao objeto da licitação, exceto quando ocorrer
algum dos eventos arrolados nos incisos do § 1º do art. 57 da Lei nº 8.666, de 1993.
5.2.17. Auxiliar o CONTRATANTE na elaboração de polí cas e procedimentos relacionados
à gestão e uso dos serviços contratados, inclusive no que tange à implantação de medidas de
racionalização e economia.
5.2.18. Ser responsável exclusivo por quaisquer acidentes na execução dos serviços
contratados e pela destruição ou dano dos documentos por culpa ou dolo de seus agentes.
5.2.19. A CONTRATADA garante que os produtos licenciados para uso não infringem
quaisquer patentes, direitos autorais ou trade-secrets, devendo a CONTRATADA se
responsabilizar por quaisquer despesas relacionadas que ocorram.
5.2.20. O Contratante não aceitará, sob nenhum pretexto, a transferência de qualquer
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 49
responsabilidade da Contratada para outras en dades, sejam fabricantes, técnicos,
subcontratados, etc.
5.2.21. Assinar Termo de Confidencialidade no qual fica a contratada impedida de liberar
informações do órgão para empresas terceiras.
5.2.22. Fica a contratada proibida de u lizar de dados ou informações do órgão
para propaganda ou uso secundário não-autorizado.
5.2.23. O Contratante mantém direitos exclusivos sobre todas as informações e dados
gerados durante o período contratado. Essa propriedade inclui qualquer cópia disponível,
inclusive backups de segurança.
5.2.24. Informar prontamente ao CONTRATANTE sobre fatos e/ou situações relacionadas à
prestação dos serviços contratados que representem risco ao êxito da contratação ou o
cumprimento de prazos exigidos, além de responsabilizar-se pelo conteúdo e veracidade das
informações prestadas - sob pena de incorrer em situações de dolo ou omissão.
5.2.25. Responsabilizar-se por todas as obrigações trabalhistas, sociais, previdenciárias,
tributárias e as demais previstas na legislação específica, cuja inadimplência não transfere
responsabilidade à CONTRATANTE.
5.2.26. O Contratante possui “Direito ao Esquecimento”, ou seja, fica a contratada
obrigada a eliminar completamente qualquer dado ou informação ob da do órgão sob sua
custódia ao término do contrato.
5.2.27. A contratada deve informar os dados de telefone celular dos responsáveis pela
empresa, incluindo um número principal e um adicional, para casos de emergência em que a
Administração precise contatar os responsáveis (Importante esclarecer que os contatos principais
ainda serão os comerciais, e que tais números serão u lizados apenas para os casos de
emergência).
5.2.28. É de responsabilidade da CONTRATADA fornecer a seus técnicos todas as
ferramentas, so wares e instrumentos necessários para a execução dos serviços, bem como
prover e se responsabilizar pela locomoção dos mesmos até o Órgão.
5.2.29. A CONTRATADA poderá subs tuir qualquer profissional durante o decorrer do
contrato, desde que avise à CONTRATANTE do fato, e indique o substituto para esse profissional.
5.2.30. Estabelecer, em conformidade à Portaria MJSP nº 513, de 2020, normas gerais de
integridade em até 3(três) meses após a assinatura do contrato, caso esse ultrapasse o valor
previsto no inciso I ou II do Art. 1º da referida portaria;
5.2.31. A implantação ou a adequação do Programa de Integridade poderá ser comprovada
por qualquer documento hábil a ser encaminhado à equipe de fiscalização do contrato,
preferencialmente, em meio digital.
5.2.32. Orientar seus empregados alocados para a execução do contrato sobre as normas
de integridade e a indispensabilidade de seu cumprimento;
5.2.33. Adotar prá cas de governança e gestão capazes de iden ficar e mi gar desvios de
conduta, irregularidades, fraudes e atos ilícitos, de acordo com as normas de integridade
previstas na Lei nº 12.846, de 1º de agosto de 2013, e no Decreto nº 8.420, de 18 de março de
2015;
5.2.34. Relatar ao órgão contratante, por escrito, qualquer descumprimento das normas de
integridade pra cado por agentes públicos com os quais mantenha contato em decorrência da
execução do contrato;
5.2.35. Subs tuir com presteza qualquer profissional que tenha come do desvios de
conduta, irregularidades, fraudes e atos ilícitos, conforme observado e no ficado pelo agente
público competente;
5.2.36. Apresentar, no momento da celebração do contrato, Declaração de Inexistência de
Vínculo Familiar, nos termos do art. 7º do Decreto nº 7.203, de 4 de junho de 2010, em que é
assumido o compromisso de não u lizar, na execução do contrato, mão de obra que seja cônjuge,
companheiro ou parente em linha reta ou colateral, por consanguinidade ou afinidade, até o
terceiro grau, de agente público que exerce cargo em comissão ou função de confiança no âmbito
do Ministério da Justiça e Segurança Pública;
5.2.37. Apresentar à equipe de fiscalização do contrato, juntamente com o rol de
documentos obrigatórios do empregado alocado para a execução do contrato, Termo de Ciência e
Concordância, devidamente assinado pelo empregado, conforme modelo constante no anexo à
Portaria MJSP nº 513, de 2020 e a este Projeto Básico;
5.2.38. Encaminhar à equipe de fiscalização do contrato, observados os prazos
estabelecidos na alínea “a”, documentação que evidencie, em alinhamento com os parâmetros
do Capítulo IV do Decreto nº 8.420, de 2015, a realização das seguintes ações e atividades:
5.2.38.1. promoção e par cipação em reuniões, apresentações, palestras e quaisquer
outros eventos de natureza semelhante que evidenciam o comprome mento da alta
direção da empresa em temas relacionados à integridade;
5.2.38.2. mapeamento dos riscos de integridade e estabelecimento de ações
mitigadoras, revisadas periodicamente;
5.2.38.3. canal de denúncia, aberto e amplamente divulgado, com garan a do devido
sigilo ao denunciante;
5.2.38.4. código de é ca ou de conduta aplicável a todos os dirigentes,
administradores e empregados, independente de cargo, emprego, posto ou função
exercidos;
5.2.38.5. treinamentos periódicos sobre o Programa de Integridade, que envolvam as
vedações incidentes na relação público-privada;
5.2.38.6. promoção de campanhas para divulgar os princípios e valores que regem a
empresa contratada e o serviço público, bem como outros temas sobre integridade e
combate a desvios de conduta, fraudes, irregularidades e atos ilícitos;
5.2.38.7. adoção de medidas disciplinares, em caso de violação do Programa de
Integridade, e de procedimentos e determinações que assegurem a pronta interrupção da
tentativa ou da prática de desvios de conduta, fraudes, irregularidades e atos ilícitos;
5.2.38.8. monitoramento con nuo do Programa de Integridade, com obje vo de
aperfeiçoar os mecanismos de prevenção de atos lesivos, bem como sua detecção e
combate; e
5.2.38.9. encaminhamento semestral de relatório da execução do Programa de
Integridade à equipe de fiscalização do contrato; e
5.2.38.10. Cumprir e exigir que os empregados alocados para a execução do contrato
nas repar ções administra vas cumpram, no que couber, as regras estabelecidas pelos
órgãos do Ministério da Justiça e Segurança Pública
5.2.39. A Contratada deverá apresentar, para aprovação da Contratante, no prazo máximo
de 15 dias corridos, contados a par r da assinatura do contrato, Plano de Implantação dos
Serviços, contendo cronograma detalhado de atividades a serem executadas pela Contratada.
5.2.40. Plano de Implantação deve conter, no mínimo, as seguintes informações:
cronograma detalhado ao nível de a vidades a serem desenvolvidas para a implantação de todos
os serviços previstos no Termo de Referência; iden ficação de ferramentas e modelos a serem
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 50
u lizados; configurações a serem realizadas; impactos e riscos, além do pessoal envolvido na
execução dos serviços.
5.2.41. A Contratada deverá detalhar e repassar, conforme orientação e interesse do
Ministério, todo o conhecimento técnico u lizado na implementação dos serviços, sem prejuízo
da devida atualização da base de conhecimento ao longo de toda a execução.
6. MODELO DE EXECUÇÃO DO CONTRATO
6.1. Rotinas de Execução
6.1.1. Realização da Reunião Inicial
6.1.1.1. A CONTRATANTE convocará a CONTRATADA, imediatamente após a assinatura do
CONTRATO, para reunião de alinhamento de entendimentos e expecta vas – ora denominada
REUNIÃO INICIAL – com o objetivo de:
6.1.1.1.1. Alinhar a forma de comunicação entre as partes, que deverá ocorrer
preferencialmente entre o CONTRATANTE e o PREPOSTO da CONTRATADA;
6.1.1.1.2. Definir as providências necessárias para inserção da CONTRATADA no
ambiente de prestação dos serviços;
6.1.1.1.3. Definir as providências de implantação dos serviços;
6.1.1.1.4. Alinhar entendimento quanto aos modelos de execução e de gestão do
contrato;
6.1.1.1.5. Emitir a ordem de serviço para fornecimento dos serviços;
6.1.1.1.6. Alinhar prazo e informações que devem conter no relatório de diagnós co
inicial a ser realizado pela Contratada. O diagnós co inicial das vulnerabilidades
existentes deve conter relatório detalhado, inclusive, com procedimentos de
correção/mi gação, a ser entregue à Contratante e deverá ser realizado no prazo máximo
de 15 dias a contar da data de início prevista na Ordem de Serviço.
6.1.1.2. No decorrer da REUNIÃO INICIAL será apresentado à CONTRATADA o PLANO DE
INSERÇÃO, documento que prevê as a vidades de alocação de recursos necessários para a
contratada iniciar o fornecimento da Solução de Tecnologia da Informação.
6.1.1.3. Havendo necessidade outros assuntos de comum interesse, estes poderão ser
tratados na reunião inicial, além dos anteriormente previstos.
6.1.1.4. Reuniões de monitoramento dos serviços ou outras reuniões extraordinárias
poderão ser convocadas pelo CONTRATANTE sendo obrigação da CONTRATADA atender às
convocações.
6.1.1.5. Todas as atas de reuniões e as comunicações entre o CONTRATANTE e a
CONTRATADA, assim como todas as demais intercorrências contratuais, posi vas ou nega vas,
serão arquivadas em processo próprio para fins de manutenção do histórico de gestão do
contrato.
6.1.1.6. Na REUNIÃO INICIAL, a CONTRATADA deverá:
6.1.1.6.1. Apresentar seu PREPOSTO;
6.1.1.6.2. Entregar o Termo de Ciência, conforme descrito no Anexo do Termo de
Referência I-E, devidamente assinado por todos os funcionários que serão diretamente
envolvidos na prestação dos serviços contratados;
6.1.1.6.3. Entregar o Termo de Compromisso, conforme descrito no Anexo do Termo de
Referência I-F, devidamente assinado pelo representante legal da contratada;
6.1.1.6.4. A CONTRATADA deverá apresentar os comprovantes de cer ficações e
tempo de experiência dos profissionais que atuarão no projeto, conforme o tópico
Requisitos de Formação da Equipe.
6.1.1.6.5. No caso de a CONTRATADA adotar solução tecnológica complementar, para
atender a completa execução dos serviços, objeto da presente contratação, deverá
apresentar declaração emi da pelo fabricante da solução ofertada onde comprova que ele
está devidamente autorizada a comercializar, instalar, configurar e dar suporte técnico a
seus produtos, especificamente para os produtos e serviços presentes para essa licitação.
Na declaração deverá constar a data e número do presente pregão.
6.1.1.6.6. A CONTRATADA deverá, num prazo de até 5 (cinco) dias úteis, a par r da
assinatura do contrato, apresentar Cronograma de Execução dos serviços, com as
respectivas datas.
6.1.2. Procedimentos para encaminhamento e controle de solicitações
6.1.2.1. Item 1 e 2: conforme definido no item Mecanismos Formais de Comunicação.
6.1.2.2. Item 3 e 4: deverão ser solicitadas mediante a emissão de uma Ordem de Serviço
(OS), conforme ANEXO I - B, por meio da qual será definido o escopo de atuação da
CONTRATADA.
6.1.3. Forma de execução e acompanhamento dos serviços
6.1.3.1. A forma de execução e acompanhamento dos serviços devem ser desenvolvidas
conforme o item "Níveis mínimos de serviços".
6.1.3.2. Para acompanhamento do conjunto de elementos que devem ser acompanhados
pelos Fiscais do contrato durante a execução contratual, permi ndo à Administração o registro e
a obtenção de informações padronizadas e de forma obje va, serão u lizados os itens que
compõem o MODELO DE PLANO DE FISCALIZAÇÃO , conforme Anexo do Termo de Referência I-I.
6.1.4. Prazos, horários de fornecimento de bens ou prestação dos serviços
6.1.4.1. A CONTRATADA deverá considerar o horário de 8 horas às 19 horas como de
horário normal de expediente do Ministério, para os dias úteis.
6.1.4.2. Deve ser possível a comunicação com o preposto fora do horário de atendimento.
No caso de haver profissional da CONTRATADA prestando serviço para o MJSP em horários não
úteis, também deverá ser designado preposto, que poderá ser acionado, ainda que remotamente,
para receber determinações ou tratar questões, incidentes e problemas que sejam inadiáveis, a
critério do MJSP.
6.1.4.3. A CONTRATADA deverá disponibilizar números de celular e escala
do(s)profissional(ais) que responderão pelo papel de preposto(s).
6.1.4.4. A CONTRATADA deverá fornecer números telefônicos ou outros meios de
comunicação para contato com o preposto, os supervisores e seu subs tutos, mesmo fora do
horário de expediente, sem que com isso ocorra qualquer ônus extra para o CONTRATANTE.
6.1.4.5. As a vidades referentes aos itens 1 e 2 deverão estar disponíveis para o
CONTRATANTE, no regime 24/7/365 (todos os dias do ano em horário integral, de forma
ininterrupta). Nos casos de ocorrências de incidentes e problemas graves, será exigida a
presença dos colaboradores e do supervisor desta área na “Sala de Crise” da CONTRATANTE.
Todos os níveis mínimos de serviço especificados neste documento deverão ser atendidos,
independentemente do momento de abertura do chamado.
6.1.4.6. A sala de crise, é uma estrutura organizacional que visa resolver um problema
pontual e urgente. A sala de crise poderá ser composta por pessoas de diversas empresas, a fim
de colaborar com a resolução do eventual problema. A par cipação em uma sala de crise não
deverá gerar ônus ao Ministério.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 51
6.1.4.7. A tabela 8 apresenta a Forma de prestação de Serviço e os horários que os serviços
devem ser prestados.
Tabela 8 - Forma de prestação de serviços e horário
Grupo Item Processo ITIL Forma de Prestação do Serviço Horário
Gerenciamento de Eventos A forma de prestação dos serviços poderá ser
Gerenciamento de Acesso presencial ou remota, conforme a necessidade
De 0h00 ás 23h59 de
do serviço, devendo ser acordado entre as
Central de Serviços segunda a domingo
partes, de maneira a garantir os níveis
(24x7)
mínimos de serviços estabelecidos no
Gerenciamento de operações presente instrumento.
1. Serviço de Security
Operations Center - SOC de TIC (Controle de Operações
de Segurança da Informação)
2. Serviço de Tratamento e
Resposta aos Incidentes Gerenciamento Técnico A forma de prestação dos serviços poderá ser
De 19h00 às 07h00 de
Cibernéticos - CSIRT - Blue Gerenciamento de Aplicação presencial ou remota, conforme a necessidade
segunda a sexta (12x5) e
Team do serviço, devendo ser acordado entre as
Gerenciamento de de 0h00 ás 23h59
partes, de maneira a garantir os níveis
Continuidade de Negócio sábado e domingo
mínimos de serviços estabelecidos no
(24x7)
Gerenciamento de Incidentes presente instrumento.
1
Gerenciamento de Problemas
Gerenciamento de Mudança
Gerenciamento de Liberação
A forma de prestação dos serviços poderá ser
e Implantação
presencial ou remota, conforme a necessidade
Gerenciamento de do serviço, devendo ser acordado entre as De 7h00 às 19h00 de
Configuração e de Ativos de partes, de maneira a garantir os níveis segunda a sexta (12x5)
Serviços mínimos de serviços estabelecidos no
Gerenciamento de presente instrumento.
Requisições
Gerenciamento de
Conhecimento
Central de Serviços A forma de prestação dos serviços poderá ser
3. Serviço de Teste de Invasão - Gerenciamento de Incidentes presencial ou remota, conforme a necessidade
Red Team: Sistemas Web do serviço, devendo ser acordado entre as De 7h00 às 19h00 de
4. Serviço de Teste de Invasão - Gerenciamento de Problemas partes, de maneira a garantir os níveis segunda a sexta (12x5)
Red Team: Infraestrrutura Gerenciamento de mínimos de serviços estabelecidos no
2
Requisições presente instrumento.
Gerenciamento de
Conhecimento
LOCALIZAÇÃO ENDEREÇO
6.1.5.2. Os locais abrangidos por este contrato devem considerar as localidades remotas,
nas quais exista um prolongamento da rede do MJSP, tais como CICCN e penitenciárias federais
ligadas ao núcleo central do MJSP, não ensejando a prestação de serviços presenciais da
Contratada.
6.1.6. Papéis e responsabilidades por parte da contratante e da contratada
6.1.6.1. A fiscalização não exclui nem reduz a responsabilidade da CONTRATADA, inclusive
perante terceiros, por qualquer irregularidade, ainda que resultante de imperfeições técnicas,
vícios redibitórios, ou emprego de material inadequado ou de qualidade inferior e, na ocorrência
desta, não implica em corresponsabilidade do CONTRATANTE ou de seus agentes e prepostos, de
conformidade com o art. 70 da Lei nº 8.666, de 1993.
6.1.6.2. Caberá a equipe de fiscalização designada rejeitar no todo ou em parte, qualquer
material ou serviço que não esteja de acordo com as exigências e especificações deste termo de
referência, ou aquele que não seja comprovadamente original e novo, assim considerado de
primeiro uso, com defeito de fabricação ou vício de funcionamento, bem como determinar prazo
para substituição do serviço.
6.1.6.3. Caberá à equipe de fiscalização do contrato acompanhar o cumprimento do prazo
para apresentação dos documentos comprobatórios quanto à obrigação prevista na portaria 513
do MJSP (15531434).
6.1.6.4. Após análise da conformidade das informações, a equipe de fiscalização do
contrato deverá dar ciência à unidade do Ministério da Jus ça e Segurança Pública responsável
pelo Programa de Integridade e à empresa contratada.
6.1.6.5. Em caso de descumprimento da obrigação de apresentar o Programa de
Integridade dentro dos prazos estabelecidos, a equipe de fiscalização deverá tomar as
providências cabíveis para a aplicação de penalidade à empresa contratada.
6.1.6.6. Após a implementação ou adequação do Programa de Integridade pela contratada,
a equipe de fiscalização deverá realizar acompanhamento da execução do programa, por meio do
relatório encaminhado pela empresa contratada, semestralmente.
6.1.7. Em caso de descumprimento do envio do relatório semestral, a equipe de fiscalização
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 52
deverá notificar a empresa contratada e proceder com o registro do ocorrido.
6.1.7.1. Os servidores designados para executarem atribuições de fiscal(is) requisitante(s),
fiscal(is) técnico(s), fiscal(is) administra vo(s) e gestor(es) do Contrato, desenvolverão
atividades específicas além das detalhadas a seguir:
6.1.7.1.1. Fiscal(is) Técnico(s):
a) Avaliar a qualidade dos serviços realizados ou das licenças entregues e as
jus fica vas por não cumprimento de termos contratuais, de acordo com os Critérios
de Aceitação definidos neste Contrato;
b) Identificar não conformidade com os termos contratuais;
c) Verificar a manutenção das condições classificatórias referentes à habilitação
técnica;
d) Controlar o prazo de vigência deste instrumento contratual sob sua
responsabilidade e verificar o cumprimento integral da execução dos serviços;
e) Receber e atestar os documentos da despesa, quando comprovado o fiel e correto
fornecimento dos serviços para fins de pagamento;
f) Comunicar, formalmente, ao Gestor deste Contrato e à CONTRATADA,
irregularidades come das passíveis de penalidades, bem como indicar glosas na
Nota Fiscal;
g) Encaminhar ao Gestor do Contrato eventuais pedidos de modificação contratual.
h) Promover o registro das ocorrências verificadas, adotando as providências
necessárias ao fiel cumprimento das cláusulas contratuais.
6.1.7.1.2. Fiscal(is) Administrativo(s):
a) Verificar aderência aos termos contratuais;
b) Verificar regularidades fiscais, trabalhistas e previdenciárias para fins de
pagamento;
6.1.7.1.3. Fiscal(is) Requisitante(s):
a) Avaliar a qualidade dos serviços realizados ou dos bens entregues e as
jus fica vas por não cumprimento de termos contratuais, de acordo com os Critérios
de Aceitação definidos neste Contrato;
b) Identificar não conformidades com os termos contratuais;
c) Verificar a manutenção da necessidade e oportunidade da contratação;
d) Controlar o prazo de vigência do instrumento contratual sob sua responsabilidade
e verificar o cumprimento integral da execução dos serviços;
e) Comunicar, formalmente, ao Gestor deste Contrato e à CONTRATADA,
irregularidades come das passíveis de penalidades, bem como efetuar as glosas na
Nota Fiscal;
f) Encaminhar ao Gestor do Contrato eventuais pedidos de modificação contratual.
6.1.7.1.4. Gestor do Contrato:
a) Promover a realização da reunião inicial;
b) Encaminhar a indicação de sanções para a Área Administrativa;
c) Autorizar a emissão de nota(s) fiscal(is), a ser(em) encaminhada(s) ao preposto da
CONTRATADA;
d) Encaminhar às autoridades competentes eventuais pedidos de modificação
contratual;
e) Manter o Histórico de Gerenciamento do Contrato, contendo registros de todas as
ocorrências relacionadas com a execução deste Contrato, determinando todas as
ações necessárias para a regularização das faltas ou defeitos, por ordem histórica.
f) No caso de aditamento contratual, encaminhar documentação con da no Histórico
de Fiscalização deste Contrato e com base nos princípios da manutenção da
necessidade, economicidade e oportunidade da contratação, enviar à Área
Administra va, com pelo menos 90 (noventa) dias de antecedência do término deste
Contrato, documentação explicitando os motivos para tal aditamento;
g) Manter registro de aditivos;
h) Controlar o prazo de vigência do instrumento contratual sob sua responsabilidade
e verificar o cumprimento integral da execução dos serviços;
i) Encaminhar à CONTRATADA deficiências;
j) Receber e atestar os documentos da despesa, quando comprovado o fiel e correto
fornecimento dos serviços para fins de pagamento;
k) Comunicar, formalmente, irregularidades come das passíveis de penalidades,
bem como indicar as glosas na Nota Fiscal;
l) Os fiscais comunicarão, por escrito, as deficiências porventura verificadas no
fornecimento, para imediata correção, sem prejuízo das sanções e glosas cabíveis.
6.1.7.1.5. Preposto(s):
a) representante da contratada, responsável por acompanhar a execução
do contrato;
b) atuar como interlocutor principal junto à contratante, incumbido de receber,
diligenciar, encaminhar e responder as principais questões técnicas, legais e
administrativas referentes ao andamento contratual.
6.1.8. Formas de transferência de conhecimento
6.1.8.1. A transferência de conhecimento será garan do logo após a assinatura do
contrato e deverá manter-se constante até a finalização do contrato.
6.1.8.2. Realização de transferência de conhecimento para equipe técnica da Área de
Tecnologia da Informação e Comunicação do Ministério da Jus ça e Segurança Pública em todas
as tecnologias instaladas e/ou u lizadas, sistemas, produtos e soluções disponibilizada pela
CONTRATADA com o fornecimento de perfil de acesso para a supervisão dos serviços
prestados, assim como, atualização ro neira no estado da arte em termos de segurança da
informação.
6.1.8.3. A CONTRATADA deverá fornecer subsídios para que a equipe técnica da Área de
Tecnologia da Informação do Ministério da Jus ça e Segurança Pública obtenha todo o
conhecimento necessário para o perfeito entendimento da solução e serviços estando capacitada
ao final do serviço contratado para manter um ambiente de SOC com equipes de Blue Team e Red
Team disponível e íntegro até que ocorra nova contratação.
6.1.8.4. O processo de transferência deverá prever o repasse de conhecimento através de
hands-on, scripts e documentação técnica elaborados pela CONTRATADA e homologada pelo
Ministério da Jus ça e Segurança Pública. Toda modificação/atualização deverá ser documentada
e entregue à CONTRATANTE.
6.1.8.5. Caberá à CONTRATADA zelar e assegurar a transferência de todo conhecimento
adquirido ou produzido para a CONTRATANTE;
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 53
6.1.9. Procedimentos de transição e finalização do contrato
6.1.9.1. Os procedimentos de transição e o encerramento do contrato deverão observar as
atividades e prazos da Tabela 10.
Tabela 10 - Atividades e prazos para a transição e encerramento do contrato.
Atividade ou Produto Responsável Prazo
180 dias antes do encerramento
1. Elaborar artefatos para nova contratação do mesmo objeto CONTRATANTE
contratual
120 dias antes do
2. Elaborar e entregar o Plano de Transição Contratual CONTRATADA
encerramento contratual
3. Entregar todo o conhecimento desenvolvido que deverá ser repassado à 30 dias antes do encerramento
CONTRATADA
Contratada/Nova empresa contratual
10 dias antes do encerramento
4. Convocar reunião de encerramento/transição contratual CONTRATANTE
contratual
CONTRATANTE 5 dias antes do encerramento
5. Realizar reunião de encerramento/transição contratual
e CONTRATADA contratual
1 dia após o encerramento definitivo do
6. Elaborar Termo de Recebimento Definitivo do Contrato CONTRATANTE
contrato
TOTAL 180 dias
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 54
valor total que deverá constar na nota fiscal emi da pela CONTRATADA. Serão pagos os
serviços prestados mediante pareceres favoráveis da equipe de fiscalização do contrato, e
também mediante a apresentação dos documentos comprobatórios de conformidade
comercial, fiscal e trabalhista, apresentados pela CONTRATADA.
7.1.2. Os descumprimentos poderão implicar em glosas cumulativas.
7.1.3. Os serviços serão executados conforme discriminado neste Termo de Referência e
anexos.
7.2. Procedimentos de Teste e Inspeção
7.2.1. O acompanhamento e a fiscalização da execução do Contrato serão realizados por
servidores da CONTRATANTE, em atendimento ao disposto no Art. 67 da Lei 8.666/93,
designados como Fiscais do Contrato, os quais obedecerão às disposições de normas e
resoluções internas do órgão, bem assim ao con do no ar go 29 da INSTRUÇÃO NORMATIVA Nº
1 da SGD/ME, de 04 de abril de 2019.
7.3. Níveis Mínimos de Serviço Exigidos
7.3.1. Os serviços deverão ser executados com base nos parâmetros mínimos a seguir
estabelecidos:
7.3.2. Os serviços deverão ser iniciados no prazo de até 15 dias úteis após a assinatura
do contrato. A não disponibilização no prazo determinado poderá resultar nas sanções previstas
no presente instrumento.
7.3.2.1. Os serviços deverão ser realizados, no prazo máximo de 15 dias após a
assinatura do contrato, salvo as exceções permi das sob a anuência do CONTRATANTE,
sem ônus adicional para o CONTRATANTE.
7.3.2.2. A CONTRATADA deve disponibilizar endereço de correio eletrônico e acesso
ao sistema de ITSM acessível pela Internet para registro de abertura de chamado técnico.
7.3.2.3. Todos os serviços serão prestados esperando-se a aplicação das melhores
práticas e recomendações do mercado e dos fabricantes.
7.3.3. Para o grupo 1 - itens 1, 2 e grupo 2 item 3 e 4:
7.3.3.1. O modelo de medição adotado no contrato será um modelo híbrido, de pagamento
de serviço por disponibilidade, condicionado ao alcance de metas de desempenho especificadas
no Níveis Mínimos de Serviço Exigidos.
7.3.3.2. Nesse modelo, o valor total dos serviços é estabelecido quando da contratação,
com base na disponibilidade es mada de profissionais para atendimento às demandas, porém o
valor mensal a ser faturado é calculado com base nos resultados (Níveis Mínimos de Serviço
Exigidos) alcançados pela CONTRATADA na prestação dos serviços.
7.3.3.3. Os valores apresentados nas planilhas de composição de custos e formação de
preços, quando da apresentação de propostas, corresponderão aos valores máximos a serem
faturados na hipótese de a CONTRATADA a ngir a meta exigida em todos os indicadores
mensais.
7.3.3.4. Não há previsão de bônus ou pagamentos adicionais para os casos em que a
CONTRATADA superar as metas previstas, ou caso seja necessária à alocação de maior número
de profissionais para o alcance das metas.
7.3.3.5. A superação de uma das metas não poderá ser u lizada para compensar o não
atendimento de outras metas, em nenhuma hipótese.
7.3.3.6. A frequência de aferição e avaliação dos níveis de serviço será mensal, devendo a
contratada elaborar Relatório Mensal de A vidades, apresentando-o ao Ministério até o quinto
dia útil do mês subsequente ao da prestação do serviço.
7.3.3.7. Devem constar desse relatório, entre outras informações, os indicadores/metas de
níveis de serviço alcançados, recomendações técnicas, administra vas e gerenciais para o
próximo período e demais informações relevantes para a gestão contratual. O conteúdo
detalhado e a forma do relatório gerencial serão definidos pelas partes.
7.3.3.8. Caberá à Comissão de Fiscalização do contrato analisar mensalmente o Relatório
Mensal de A vidades executados pela Contratada, observando os indicadores e os níveis de
serviço alcançados.
7.3.3.9. Caso a Contratada não cumpra as metas estabelecidas no mês, serão aplicadas as
glosas, multas ou demais sanções previstas no termo de referência.
7.3.3.10. Nos casos em que a apuração ensejar desempenho abaixo da meta exigida, o valor
correspondente à glosa será abatido do pagamento da fatura a vencer.
7.3.3.11. A CONTRATADA deve fornecer, uma mesma ferramenta para abertura de
chamados para o Grupo 1, visando ao CONTRATANTE a possibilidade de acompanhamento do
chamado registrado em uma equipe e encaminhada a outra equipe.
7.3.3.12. Somente serão aceitas jus fica vas para o não atendimento a um chamado
técnico, caso o fato seja gerado por mo vo de força maior ou por dependência do Ministério da
Jus ça e Segurança Pública. Neste caso, a CONTRATADA deve formalizar antecipadamente ao
Gestor do Contrato ou ao Fiscal Técnico os motivos que impedem a execução do serviço.
7.3.3.12.1. Para efeito desta contratação, estabelecem-se os seguintes níveis mínimos
de serviço para a resposta e solução das requisições de serviço e incidentes. Os serviços
serão medidos com base em indicadores e níveis mínimos de serviço, vinculados a
fórmulas de cálculo específicas, e deverão ser executados pela CONTRATADA, e
apurados mensalmente, de modo a alcançar as respec vas metas exigidas, conforme
tabela 11.
7.3.3.12.2. As médias são um recurso para reduzir o tamanho dos dados históricos de
aferição de performance de um item monitorado e podem ser diárias, semanais,
quinzenais, mensais e por seguinte. Geralmente as ferramentas de monitoramento u lizam
algoritmos que prevê, por exemplo, o armazenamento, a cada hora, de 4 métricas para
cada item coletado: mínimo, média, máximo e quan dade. Ela está disponível apenas para
os tipos de dados numéricos.
7.3.3.12.3. Para os itens de glosa da tabela 11, quando o percentual for baseado no po
de natureza e impacto ao negócio, a referência a ser seguida será de acordo com a tabela
7 desse termo de referência, item 4.1.15.6.
7.3.3.12.4. Cabe à CONTRATADA comunicar ao Ministério e às Áreas responsáveis pelos
serviços no caso de ocorrência de falhas ou erros funcionais dos serviços corpora vos. A
comunicação deverá ser feita por mensagem ou por meio telefônico dentro dos prazos
previstos no Plano de Comunicação a ser entregue pela CONTRATANTE em até 10 dias
após a assinatura do contrato.
7.3.3.12.5. O Plano de Comunicação é um documento interno da CONTRATANTE que
define os setores a serem no ficados conforme po de serviço, tempo máximo de espera,
regras e padronização das mensagens, assim como a agenda de comunicação. A matriz de
contatos deverá ser revisada mensalmente, devendo estar atualizada quanto aos serviços e
gestores a serem comunicados, tanto quanto os contatos per nentes à equipe da
CONTRATADA.
7.3.3.12.6. Serão considerados os seguintes pontos no momento de contabilizar
a quantidade mínima de serviços para vulnerabilidades não relatadas:
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 55
7.3.3.12.6.1. No início da atuação do SOC, após a assinatura do contrato, a
Contratada deverá fazer um diagnós co inicial das vulnerabilidades existentes e
entregar o relatório detalhado, inclusive, com procedimentos de correção/mi gação,
à Contratante no prazo máximo de 15 dias a contar da data de início prevista na
Ordem de Serviço. A data da realização e o diagnós co serão considerados como
baseline para avaliação mensal de vulnerabilidades não relatadas e posteriormente
diagnos cadas. As vulnerabilidades preexistentes deverão ser tratadas pela
Contratada em conjunto com a contratante, conforme cronograma definido pela
Contratante.
7.3.3.12.6.2. Não serão consideradas para fins de glosa as vulnerabilidades zero
day.
"Uma vulnerabilidade de dia zero é uma falha de segurança de so ware recém-
descoberta que não foi corrigida, porque con nua desconhecida para os
desenvolvedores do software. Os desenvolvedores ficam sabendo sobre a existência
de uma vulnerabilidade de dia zero existente apenas depois que tal ataque
acontece. Eles têm “zero dia” de aviso prévio para corrigir a vulnerabilidade antes
que o ataque aconteça." [https://www.avast.com/pt-br/c-zero-day]
7.3.3.12.6.3. Será considerado o padrão Common Vulnerability Scoring System v3.1
(CVSS v3.1) como base de pontuação para escala de classificação da severidade,
conforme site do Fórum Global de equipes de respostas a incidentes e de segurança
FIRST.org https://www.first.org/cvss/v3.1/specification-document, item Qualitative
Severity Rating Scale.
7.3.3.12.6.4. Compete à contratada iden ficar e reportar vulnerabilidades
decorrentes de falhas na implantação ou na aplicação de polí cas de segurança aos
sistemas corporativos.
7.3.3.12.7. Serão considerados os seguintes pontos no momento de contabilizar
a quantidade mínima de serviços para incidentes ocorridos:
7.3.3.12.7.1. No primeiro mês a contar da data de início prevista na Ordem de
Serviço, não serão contabilizados nenhum incidente de origem de
vulnerabilidades iden ficadas no relatório de diagnós co inicial realizado pela
Contratada. As vulnerabilidades crí cas e alta iden ficadas deverão ter tratamento
imediato e por isso serão contabilizadas em caso de incidente. A classificação da
vulnerabilidade considera o padrão CVSS v3.1;
7.3.3.12.7.2. Incidentes ocorridos por vulnerabilidades zero day ou que não
possuam correções ou mi gações por parte do desenvolvedor do so ware não serão
contabilizados;
7.3.3.12.7.3. Incidentes ocorridos de vulnerabilidades relatadas e que a equipe de
SOC/ Blue Team não foi autorizada a atuar, devido a impactos que a correção
geraria, não serão contabilizadas desde que comprovadamente comunicadas em
mais de uma ocasião;
7.3.3.12.7.4. Serão considerados incidentes sofridos com sucesso contra os serviços
e sistemas do Ministério, excetuando-se os testes de invasão realizado pelo Red
Team.
7.3.3.12.7.5. Incidentes comprovadamente ocorridos por fatores alheios à atuação
da contratada não serão computados para fins de aplicação de glosas e penalidades.
Tabela 11 - Quantidade Mínima de Níveis de Serviços para os itens 1, 2, 3 e 4
Glosas
Fórmula de Cálculo
ID Indicadores de Níveis de Serviço Unidade Meta Exigida (sobre o valor
com base no mês calendário
mensal)
Serviço de Security Operations Center - SOC (Grupo 1 - Item 01)
Mensal – Índice Monitoramento de - 0,5% por cada
Infraestrutura. falta constatada aplicado sob o
(Falha ou incidente de segurança de Total de sistemas, serviços e valor mensal do item 01
algum serviço ou equipamento de equipamento monitorado pela
1 infraestrutura de TIC que deveria estar Plataforma / Total de sistemas, % =100% Acima dos limites estabelecidos
sendo monitorado e que a Plataforma serviços e equipamentos em a administração poderá realizar
de SIEM/SOAR/NTA/UEBA/CTI do produção x 100% rescisão unilateral da avença e
Ministério não foi devidamente aplicar as sanções previstas no
configurada para tal apuração.) presente instrumento.
- 0,5% por cada falta
Mensal – Índice de Plano de constatada aplicado sob o valor
Comunicação. mensal do item 01
Total de plano de comunicação
(Não cumpra o escopo ou os prazos
entregue / Total de plano de
2 especificados no Plano de % =100% Acima dos limites estabelecidos
comunicação cumprido o escopo
Comunicação para serviços que a administração poderá realizar
e/ou prazo x 100%
apresentarem incidentes de segurança rescisão unilateral da avença e
da informação) aplicar as sanções previstas no
presente instrumento.
Mensal – Índice de Incidentes - 5% por cada falta
cibernéticos detectados. constatada aplicado sob o valor
(Incidente cibernético de algum serviço mensal do item 01 e 02
Total de incidentes cibernético
do Ministério ocorrido sem que
detectados pela Plataforma / Total
3 a Plataforma de % =100% Acima dos limites estabelecidos
de incidentes cibernético ocorridos
SIEM/SOAR/NTA/UEBA/CTI do a administração poderá realizar
x 100%
Ministério tenha detectado rescisão unilateral da avença e
porque não foi devidamente aplicar as sanções previstas no
configurada para tal detecção.) presente instrumento.
Quando da ocorrência de
vulnerabilidades não identificadas
a Contratada será glosada
mensalmente conforme segue:
- 1% por vulnerabilidade com
severidade baixa, limitada a
48 ocorrências durante a vigência
contratual.
- 2% por vulnerabilidade
com severidade média, limitada a
24 ocorrências durante a vigência
contratual.
- 3% por
vulnerabilidade com severidade
alta, limitada a 12 ocorrências
durante a vigência contratual.
Quantidade de Vulnerabilidade(s) não - 5% por vulnerabilidade
Soma das quantidades de
relatadas e posteriormente com severidade crítica, limitada a
4 vulnerabilidades não relatadas e Qt 0
identificadas. 4 ocorrências durante a vigência
posteriormente identificadas
Obs.: Ver item 7.3.3.12.6 contratual.
Aplicado sob
o valor mensal dos itens 01 e 02.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 56
Quantidade de Ataque(s) sofridos
5 Soma das quantidades de ataques
com sucesso. Qt 0 Aplicado sob
ocorridos com sucesso
Obs.: Ver item 7.3.3.12.7 o valor mensal dos itens 01 e 02.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 57
- 10% por dia de atraso;
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 58
02 0,2% ao dia sobre o valor total mensal do item, limitado a incidência de 15 (quinze) dias.
03 0,3% ao dia sobre o valor total mensal do item, limitado a incidência de 15 (quinze) dias.
04 1,6% ao dia sobre o valor total mensal do item, limitado a incidência de 15 (quinze) dias.
05 1% dos limites estabelecidos sobre o valor adjudicado do item.
06 2% dos limites estabelecidos sobre o valor adjudicado do item.
07 3% dos limites estabelecidos sobre o valor adjudicado do item.
08 0,5% ao dia sobre o valor do item adjudicado, limitado a 05 (cinco) dias.
09 0,2% sobre o valor do item adjudicado por relatório, limitado a 02 (duas) ocorrências.
Tabela 13 - Infrações
INFRAÇÃO
Item(s) do(s)
DESCRIÇÃO GRAU
contrato(s)
Suspender ou interromper, salvo motivo de força maior ou caso fortuito, os serviços contratuais por dia e por unidade de
1, 2, 3 e 4 04
atendimento.
1, 2, 3 e 4 Manter funcionário sem qualificação para executar os serviços contratados, por empregado e por dia. 03
1, 2,3 e 4 Recusar-se a executar serviço determinado pela fiscalização, por serviço e por dia. 02
Descumprir os limites estabelecidos nos itens 4 e 5 impacto ao negócio baixo da Tabela 11 - Quantidade Mínima de Níveis
1 e2 05
de Serviços para os itens 1, 2, 3 e 4
Descumprir os limites estabelecidos nos itens 4 e 5 impacto ao negócio médio da Tabela 11 - Quantidade Mínima de Níveis
1 e2 06
de Serviços para os itens 1, 2, 3 e 4
Descumprir os limites estabelecidos nos itens 4 e 5 impacto ao negócio alto e critico da Tabela 11 - Quantidade Mínima de
1 e2 07
Níveis de Serviços para os itens 1, 2, 3 e 4
Descumprir os limites dos dias estabelecidos no item 14 da Tabela 11 - Quantidade Mínima de Níveis de Serviços para os
3 e4 08
itens 1, 2, 3 e 4
Descumprir os limites estabelecidos no item 15 da Tabela 11 - Quantidade Mínima de Níveis de Serviços para os itens 1, 2, 3
3 e4 09
e4
Para os itens a seguir, deixar de:
Cumprir quaisquer dos itens do Edital e seus Anexos não previstos nesta tabela de multas, após reincidência formalmente
1, 2, 3 e 4 03
notificada pelo órgão fiscalizador, por item e por ocorrência.
1, 2, 3 e 4 Indicar e manter durante a execução do contrato os prepostos previstos no edital/contrato. 01
7.4.3. Também ficam sujeitas às penalidades do art. 87, III e IV da Lei nº 8.666, de 1993,
as empresas ou profissionais que:
7.4.3.1. tenham sofrido condenação defini va por pra car, por meio dolosos, fraude fiscal
no recolhimento de quaisquer tributos;
7.4.3.2. tenham praticado atos ilícitos visando a frustrar os objetivos da licitação;
7.4.3.3. demonstrem não possuir idoneidade para contratar com a Administração em
virtude de atos ilícitos praticados.
7.4.4. A aplicação de qualquer das penalidades previstas realizar-se-á em processo
administra vo que assegurará o contraditório e a ampla defesa à CONTRATADA, observando-se o
procedimento previsto na Lei nº 8.666, de 1993, e subsidiariamente a Lei nº 9.784, de 1999.
7.4.5. As multas devidas e/ou prejuízos causados à Contratante serão deduzidos dos valores a
serem pagos, ou recolhidos em favor da União, ou deduzidos da garan a, ou ainda, quando for o caso,
serão inscritos na Dívida Ativa da União e cobrados judicialmente.
7.4.5.1. Caso a Contratante determine, a multa deverá ser recolhida no prazo máximo de 15
(quinze) dias, a contar da data do recebimento da comunicação enviada pela autoridade
competente.
7.4.6. Caso o valor da multa não seja suficiente para cobrir os prejuízos causados pela
conduta do licitante, a União ou En dade poderá cobrar o valor remanescente judicialmente, conforme
artigo 419 do Código Civil.
7.4.7. A autoridade competente, na aplicação das sanções, levará em consideração a
gravidade da conduta do infrator, o caráter educa vo da pena, bem como o dano causado à
Administração, observado o princípio da proporcionalidade.
7.4.8. Se, durante o processo de aplicação de penalidade, se houver indícios de prá ca de
infração administra va pificada pela Lei nº 12.846, de 1º de agosto de 2013, como ato lesivo à
administração pública nacional ou estrangeira, cópias do processo administra vo necessárias à
apuração da responsabilidade da empresa deverão ser reme das à autoridade competente, com
despacho fundamentado, para ciência e decisão sobre a eventual instauração de inves gação
preliminar ou Processo Administrativo de Responsabilização - PAR.
7.4.9. A apuração e o julgamento das demais infrações administra vas não consideradas
como ato lesivo à Administração Pública nacional ou estrangeira nos termos da Lei nº 12.846, de 1º de
agosto de 2013, seguirão seu rito normal na unidade administrativa.
7.4.10. O processamento do PAR não interfere no seguimento regular dos processos
administra vos específicos para apuração da ocorrência de danos e prejuízos à Administração Pública
Federal resultantes de ato lesivo come do por pessoa jurídica, com ou sem a par cipação de agente
público.
7.4.11. As penalidades serão obrigatoriamente registradas no SICAF.
7.5. Do pagamento
7.5.1. A emissão da Nota Fiscal/Fatura será precedida do recebimento defini vo do serviço,
conforme este Termo de Referência.
7.5.2. Quando houver glosa parcial dos serviços, a contratante deverá comunicar a empresa
para que emita a nota fiscal ou fatura com o valor exato dimensionado.
7.5.3. O pagamento será efetuado pela Contratante no prazo de 30 (trinta) dias, contados do
recebimento da Nota Fiscal/Fatura.
7.5.3.1. Os pagamentos decorrentes de despesas cujos valores não ultrapassem o limite de
que trata o inciso II do art. 24 da Lei 8.666, de 1993, deverão ser efetuados no prazo de até 5
(cinco) dias úteis, contados da data da apresentação da Nota Fiscal/Fatura, nos termos do art. 5º,
§ 3º, da Lei nº 8.666, de 1993
7.5.4. A Nota Fiscal ou Fatura deverá ser obrigatoriamente acompanhada da comprovação da
regularidade fiscal, constatada por meio de consulta on-line ao SICAF ou, na impossibilidade de
acesso ao referido Sistema, mediante consulta aos sí os eletrônicos oficiais ou à documentação
mencionada no art. 29 da Lei nº 8.666, de 1993.
7.5.4.1. Constatando-se, junto ao SICAF, a situação de irregularidade do fornecedor
contratado, deverão ser tomadas as providências previstas no do art. 31 da Instrução Norma va
nº 3, de 26 de abril de 2018.
7.5.5. O setor competente para proceder o pagamento deve verificar se a Nota Fiscal ou
Fatura apresentada expressa os elementos necessários e essenciais do documento, tais como:
7.5.5.1. o prazo de validade;
7.5.5.2. a data da emissão;
7.5.5.3. os dados do contrato e do órgão contratante;
7.5.5.4. o período de prestação dos serviços;
7.5.5.5. o valor a pagar; e
7.5.5.6. eventual destaque do valor de retenções tributárias cabíveis.
7.5.6. Havendo erro na apresentação da Nota Fiscal/Fatura, ou circunstância que impeça a
liquidação da despesa, o pagamento ficará sobrestado até que a Contratada providencie as medidas
saneadoras. Nesta hipótese, o prazo para pagamento iniciar-se-á após a comprovação da
regularização da situação, não acarretando qualquer ônus para a Contratante;
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 59
7.5.7. Será considerada data do pagamento o dia em que constar como emi da a ordem
bancária para pagamento.
7.5.8. Antes de cada pagamento à contratada, será realizada consulta ao SICAF para verificar
a manutenção das condições de habilitação exigidas no edital.
7.5.9. Constatando-se, junto ao SICAF, a situação de irregularidade da contratada, será
providenciada sua no ficação, por escrito, para que, no prazo de 5 (cinco) dias úteis, regularize sua
situação ou, no mesmo prazo, apresente sua defesa. O prazo poderá ser prorrogado uma vez, por igual
período, a critério da contratante.
7.5.10. Não havendo regularização ou sendo a defesa considerada improcedente, a contratante
deverá comunicar aos órgãos responsáveis pela fiscalização da regularidade fiscal quanto à
inadimplência da contratada, bem como quanto à existência de pagamento a ser efetuado, para que
sejam acionados os meios pertinentes e necessários para garantir o recebimento de seus créditos.
7.5.11. Persis ndo a irregularidade, a contratante deverá adotar as medidas necessárias à
rescisão contratual nos autos do processo administra vo correspondente, assegurada à contratada a
ampla defesa.
7.5.12. Havendo a efe va execução do objeto, os pagamentos serão realizados normalmente,
até que se decida pela rescisão do contrato, caso a contratada não regularize sua situação junto ao
SICAF.
7.5.12.1. Será rescindido o contrato em execução com a contratada inadimplente no SICAF,
salvo por mo vo de economicidade, segurança nacional ou outro de interesse público de alta
relevância, devidamente justificado, em qualquer caso, pela máxima autoridade da contratante.
7.5.13. Previamente à emissão de nota de empenho e a cada pagamento, a Administração
deverá realizar consulta ao SICAF para iden ficar possível suspensão temporária de par cipação em
licitação, no âmbito do órgão ou en dade, proibição de contratar com o Poder Público, bem como
ocorrências impedi vas indiretas, observado o disposto no art. 29, da Instrução Norma va nº 3, de 26
de abril de 2018.
7.5.14. Quando do pagamento, será efetuada a retenção tributária prevista na legislação
aplicável, em especial a prevista no ar go 31 da Lei 8.212, de 1993, nos termos do item 6 do Anexo XI
da IN SEGES/MP n. 5/2017, quando couber.
7.5.15. É vedado o pagamento, a qualquer tulo, por serviços prestados, à empresa privada que
tenha em seu quadro societário servidor público da ativa do órgão contratante, com fundamento na Lei
de Diretrizes Orçamentárias vigente.
7.5.16. Nos casos de eventuais atrasos de pagamento, desde que a Contratada não tenha
concorrido, de alguma forma, para tanto, o valor devido deverá ser acrescido de atualização
financeira, e sua apuração se fará desde a data de seu vencimento até a data do efe vo pagamento,
em que os juros de mora serão calculados à taxa de 0,5% (meio por cento) ao mês, ou 6% (seis por
cento) ao ano, mediante aplicação das seguintes fórmulas:
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 60
recebimento definitivo.
7.6.3.2.2. Será considerado como ocorrido o recebimento provisório com a entrega do
relatório circunstanciado ou, em havendo mais de um a ser feito, com a entrega do último.
7.6.3.2.2.1. Na hipótese de a verificação a que se refere o parágrafo anterior não
ser procedida tempes vamente, reputar-se-á como realizada, consumando-se o
recebimento provisório no dia do esgotamento do prazo.
7.6.4. No prazo de até 10 (dez) dias corridos a par r do recebimento provisório dos serviços, o
Fiscal Requisitante e Fiscal Técnico do Contrato deverá providenciar o recebimento defini vo, ato que
concretiza o ateste da execução dos serviços, obedecendo as seguintes diretrizes:
7.6.4.1. Realizar a análise dos relatórios e de toda a documentação apresentada pela
fiscalização e, caso haja irregularidades que impeçam a liquidação e o pagamento da despesa,
indicar as cláusulas contratuais per nentes, solicitando à CONTRATADA, por escrito, as
respectivas correções;
7.6.4.2. Emi r Termo Circunstanciado para efeito de recebimento defini vo dos serviços
prestados, com base nos relatórios e documentações apresentadas; e
7.6.4.3. O Gestor deverá comunicar a empresa para que emita a Nota Fiscal ou Fatura, com
o valor exato dimensionado pela fiscalização, com base no Instrumento de Medição de Resultado
(IMR), ou instrumento substituto.
7.6.5. O recebimento provisório ou defini vo do objeto não exclui a responsabilidade da
Contratada pelos prejuízos resultantes da incorreta execução do contrato, ou, em qualquer época, das
garan as concedidas e das responsabilidades assumidas em contrato e por força das disposições
legais em vigor (Lei n° 10.406, de 2002).
7.6.6. Os serviços poderão ser rejeitados, no todo ou em parte, quando em desacordo com as
especificações constantes neste Termo de Referência e na proposta, devendo ser
corrigidos/refeitos/subs tuídos no prazo fixado pelo fiscal do contrato, às custas da Contratada, sem
prejuízo da aplicação de penalidades.
Código
SIASG Métrica ou Unidade Valor unitário máximo Valor Total máximo
Grupo Item Descrição do Bem ou Serviço Quantidade
de medida aceitável (R$) aceitável (24 meses) R$
CATSER
1 26000 Serviço de Security Operations Center - SOC 24 Unidade (Mensal) 106.044,63 2.545.071,08
1
2 26000 Serviço de Tratamento e Resposta aos Incidentes Cibernéticos - CSIRT - Blue Team 24 Unidade (Mensal) 75.265,16 1.806.363,76
3 26000 Serviço de Teste de Invasão - Red Team: Sistemas Web 217 Unidade (Alvo) 15.195,57 3.297.438,69
2
4 2600 Serviço de Teste de Invasão - Red Team: Infraestrutura 610 Unidade (Alvo) 1.402,11 855.284,05
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 61
11.5. Nas aferições finais, o índice utilizado para reajuste será, obrigatoriamente, o definitivo.
11.6. Caso o índice estabelecido para reajustamento venha a ser ex nto ou de qualquer
forma não possa mais ser u lizado, será adotado, em subs tuição, o que vier a ser determinado pela
legislação então em vigor.
11.7. Na ausência de previsão legal quanto ao índice subs tuto, as partes elegerão novo
índice oficial, para reajustamento do preço do valor remanescente, por meio de termo aditivo.
11.8. O reajuste será realizado por apostilamento.
12.1.2. Tipo
12.1.2.1. O po de licitação será a de menor preço - quando o critério de seleção da
proposta mais vantajosa para a Administração determinar que será vencedor o licitante que
apresentar a proposta de acordo com as especificações do edital ou convite e ofertar o
menor preço.
12.1.3. Modalidade
12.1.3.1. Será adotada a licitação na modalidade de pregão.
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 62
13.2. Conforme o §6º do art. 12 da IN SGD/ME nº 01, de 2019, o Termo de Referência ou
Projeto Básico será assinado pela Equipe de Planejamento da Contratação e pela autoridade máxima
da Área de TIC e aprovado pela autoridade competente.
Aprovo,
Matrícula 1558579
14. ANEXOS
Termo de Referência ou Projeto Básico - IN 01/2019 15-fevereiro-2022 (17239180) SEI 08006.000003/2021-38 / pg. 63
17075464 08006.000003/2021-38
ANEXO I-A
PROPOSTA DE PREÇOS
(EMITIR EM PAPEL TIMBRADO DA EMPRESA)
PROPOSTA DE PREÇOS
Objeto: Contratação de empresa especializada, para o fornecimento de Serviço de Centro de Operações de Segurança (Security
Operations Center - SOC) com funcionamento e suporte 24h por dia e 7 dias por semana, Serviço de tratamento e resposta aos
incidentes cibernéticos - CSIRT - Blue Team e Serviço de teste de invasão - Red Team, pelo período de 24(vinte e quatro) meses,
renováveis até o limite de 60 (sessenta) meses, para o atendimento das necessidades da Diretoria de Tecnologia da Informação e
Comunicação - DTIC do Ministério da Justiça e Segurança Pública - MJSP, de acordo com as especificações técnicas contidas do Termo de
Referência – TR e seus anexos.
Dados da Empresa
Razão Social:
CNPJ (MF) nº:
Assinatura
Local e data:
Nome do Representante Legal:
Identidade do Representante Legal:
ANEXO I-B
DATA:
ORDEM DE SERVIÇO N°
HORA:
1. IDENTIFICAÇÃO DO SOLICITANTE
Nome: E-mail:
2. SERVIÇO A EXECUTAR
EMPRESA RESPONSÁVEL:
LOCAL/REFERÊNCIA:
HORARIO/DIA P/ EXECUÇÃO:
OBS.:
Autorizo o pessoal abaixo a realizar os serviços acima nos termos definidos em Contrato.
5. MATERIAL EMPREGADO
7. ACEITE DO SERVIÇO
Declaro que o serviço acima solicitado, foi executado, considerando aceito o serviço
ANEXO I-C
DATA:
ORDEM DE SERVIÇO Nº:
HORA:
1. IDENTIFICAÇÃO DO SOLICITANTE
Nome: E-mail:
2. SERVIÇOS A EXECUTAR
Empresa Responsável:
Início: Chegada:
Término: Saída:
Observações:
Sim Não
4. COMENTÁRIO DA CONTRATANTE
ANEXO I-D
DECLARAÇÃO DE VISTORIA
(EMITIR EM PAPEL TIMBRADO DA EMPRESA)
Pela presente, declaramos conhecer e compreender por inteiro o teor do PREGÃO ELETRÔNICO nº ___/202_, cujo objeto
é ________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
________________________________________________________________________________________________________________,
pelo que aceitamos seus termos e comprometemo-nos a observá-los integralmente. Declaramos, outrossim, ter visitado o local dos serviços a
serem executados em companhia do representante da Tecnologia da Informação.
Empresa:______________________________________________________________
Declaro que o Representante da empresa acima identificada visitou os locais de execução dos serviços.
Brasília-DF, ......de...........................de 20....
____________________________
Nome
Carteira de Identidade - Órgão Emissor
ANEXO I-E
TERMO DE CIÊNCIA
INTRODUÇÃO
Visa obter o comprometimento formal dos empregados da CONTRATADA diretamente envolvidos no projeto sobre o conhecimento da
declaração de manutenção de sigilo e das normas de segurança vigentes na Instituição.
IDENTIFICAÇÃO
Contrato N°:
Objeto:
Contratante:
Contratada: CNPJ:
Por este instrumento, os funcionários abaixo-assinados declaram ter ciência e conhecer o teor do Termo de Compromisso de Manutenção de
Sigilo e as normas de segurança vigentes na Contratante.
CIÊNCIA
CONTRATADA – Funcionários
______________________ _____________________
<Nome> <Nome>
Matrícula: <Matr.> Matrícula: <Matr.>
______________________ ______________________
<Nome> <Nome>
Matrícula: <Matr.> Matrícula: <Matr.>
______________________ ______________________
ANEXO I-F
TERMO DE COMPROMISSO
O <NOME DO ÓRGÃO>, sediado em <ENDEREÇO>, CNPJ n° <CNPJ>, doravante denominado CONTRATANTE, e, de outro lado, a
<NOME DA EMPRESA>, sediada em <ENDEREÇO>, CNPJ n° <CNPJ>, doravante denominada CONTRATADA;
CONSIDERANDO que, em razão do CONTRATO N.º XX/20XX doravante denominado CONTRATO PRINCIPAL, a CONTRATADA
poderá ter acesso a informações sigilosas do CONTRATANTE;
CONSIDERANDO a necessidade de ajustar as condições de revelação destas informações sigilosas, bem como definir as regras para o seu
uso e proteção;
CONSIDERANDO o disposto na Política de Segurança da Informação da CONTRATANTE;
Resolvem celebrar o presente TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO, doravante TERMO, vinculado ao
CONTRATO PRINCIPAL, mediante as seguintes cláusulas e condições:
Cláusula Primeira – DO OBJETO
Constitui objeto deste TERMO o estabelecimento de condições específicas para regulamentar as obrigações a serem observadas pela
CONTRATADA, no que diz respeito ao trato de informações sigilosas, disponibilizadas pela CONTRATANTE, por força dos
procedimentos necessários para a execução do objeto do CONTRATO PRINCIPAL celebrado entre as partes e em acordo com o que
dispõem a Lei 12.527, de 18/11/2011 e os Decretos 7.724, de 16/05/2012 e 7.845, de 14/11/2012, que regulamentam os procedimentos para
acesso e tratamento de informação classificada em qualquer grau de sigilo.
Cláusula Segunda – DOS CONCEITOS E DEFINIÇÕES
Para os efeitos deste TERMO, são estabelecidos os seguintes conceitos e definições:
INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer
meio, suporte ou formato.
INFORMAÇÃO SIGILOSA: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a
segurança da sociedade e do Estado.
CONTRATO PRINCIPAL: contrato celebrado entre as partes, ao qual este TERMO se vincula.
Cláusula Terceira – DA INFORMAÇÃO SIGILOSA
Serão consideradas como informação sigilosa, toda e qualquer informação classificada ou não nos graus de sigilo ultrassecreto, secreto e
reservado. O TERMO abrangerá toda informação escrita, verbal, ou em linguagem computacional em qualquer nível, ou de qualquer outro
modo apresentada, tangível ou intangível, podendo incluir, mas não se limitando a: know-how, técnicas, especificações, relatórios,
compilações, código fonte de programas de computador na íntegra ou em partes, fórmulas, desenhos, cópias, modelos, amostras de ideias,
aspectos financeiros e econômicos, definições, informações sobre as atividades da CONTRATANTE e/ou quaisquer informações
técnicas/comerciais relacionadas/resultantes ou não ao CONTRATO PRINCIPAL, doravante denominados INFORMAÇÕES, a que
diretamente ou pelos seus empregados, a CONTRATADA venha a ter acesso, conhecimento ou que venha a lhe ser confiada durante e em
razão das atuações de execução do CONTRATO PRINCIPAL celebrado entre as partes;
Cláusula Quarta – DOS LIMITES DO SIGILO
As obrigações constantes deste TERMO não serão aplicadas às INFORMAÇÕES que:
I – sejam comprovadamente de domínio público no momento da revelação, exceto se tal fato decorrer de ato ou omissão da CONTRATADA;
II – tenham sido comprovadas e legitimamente recebidas de terceiros, estranhos ao presente TERMO;
III – sejam reveladas em razão de requisição judicial ou outra determinação válida do Governo, somente até a extensão de tais ordens, desde
que as partes cumpram qualquer medida de proteção pertinente e tenham sido notificadas sobre a existência de tal ordem, previamente e por
escrito, dando a esta, na medida do possível, tempo hábil para pleitear medidas de proteção que julgar cabíveis.
Cláusula Quinta – DOS DIREITOS E OBRIGAÇÕES
As partes se comprometem a não revelar, copiar, transmitir, reproduzir, utilizar, transportar ou dar conhecimento, em hipótese alguma, a
terceiros, bem como a não permitir que qualquer empregado envolvido direta ou indiretamente na execução do CONTRATO PRINCIPAL,
em qualquer nível hierárquico de sua estrutura organizacional e sob quaisquer alegações, faça uso dessas INFORMAÇÕES, que se restringem
estritamente ao cumprimento do CONTRATO PRINCIPAL.
Parágrafo Primeiro – A CONTRATADA se compromete a não efetuar qualquer tipo de cópia da informação sigilosa sem o consentimento
expresso e prévio da CONTRATANTE.
Parágrafo Segundo – A CONTRATADA compromete-se a dar ciência e obter o aceite formal da direção e empregados que atuarão direta ou
indiretamente na execução do CONTRATO PRINCIPAL sobre a existência deste TERMO bem como da natureza sigilosa das informações.
I – A CONTRATADA deverá firmar acordos por escrito com seus empregados visando garantir o cumprimento de todas as disposições do
presente TERMO e dará ciência à CONTRATANTE dos documentos comprobatórios.
Parágrafo Terceiro – A CONTRATADA obriga-se a tomar todas as medidas necessárias à proteção da informação sigilosa da
CONTRATANTE, bem como evitar e prevenir a revelação a terceiros, exceto se devidamente autorizado por escrito pela CONTRATANTE.
Parágrafo Quarto – Cada parte permanecerá como fiel depositária das informações reveladas à outra parte em função deste TERMO.
I – Quando requeridas, as INFORMAÇÕES deverão retornar imediatamente ao proprietário, bem como todas e quaisquer cópias
eventualmente existentes.
Parágrafo Quinto – A CONTRATADA obriga-se por si, sua controladora, suas controladas, coligadas, representantes, procuradores, sócios,
acionistas e cotistas, por terceiros eventualmente consultados, seus empregados, contratados e subcontratados, assim como por quaisquer
outras pessoas vinculadas à CONTRATADA, direta ou indiretamente, a manter sigilo, bem como a limitar a utilização das informações
disponibilizadas em face da execução do CONTRATO PRINCIPAL.
Parágrafo Sexto – A CONTRATADA, na forma disposta no parágrafo primeiro, acima, também se obriga a:
E, por assim estarem justas e estabelecidas as condições, o presente TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO é
assinado pelas partes em 2 vias de igual teor e um só efeito
DE ACORDO
CONTRATANTE CONTRATADA
_______________________________ ________________________________
<Nome> <Nome>
Testemunhas
Testemunha 1 Testemunha 2
<Nome> <Nome>
<Qualificação> <Qualificação>
ANEXO I-G
Pela presente, declaramos RENUNCIAR a vistoria técnica aos locais e as instalações para prestação dos serviços constantes do
objeto do PREGÃO ELETRÔNICO nº ___/202__, bem como seus anexos, pelo que aceitamos seus termos e comprometemo-nos a observá-
los integralmente. Declaramos, outrossim, NÃO ter visitado o local dos serviços a serem executados, motivo esse que não poderei alegar o
desconhecimento de fatos evidentes à época da vistoria para solicitar qualquer alteração do valor do contrato que vier a celebrar.
Empresa:______________________________________________________________
C.N.P.J.(MF):_____________________________Tel/Fax:_______________________
Endereço:______________________________________________________________
Nome do Representante: __________________________________________________
Endereço Eletrônico (e-mail): ______________________________________________
Representante da Empresa
ANEXO I-H
INTRODUÇÃO
O Plano de Inserção descreverá as atividades de alocação de recursos e preparação das condições necessárias para a contratada iniciar o
fornecimento da Solução de TI.
1 – IDENTIFICAÇÃO
Contratada
Nº. do Contrato
Gestor do Contrato
Fiscal Requisitante
Fiscal Técnico
Justificativa da Contratação
Objetivos da Contratação
3 – METODOLOGIA DE TRABALHO
Forma de Comunicação
4 – EXECUÇÃO DO CONTRATO
Ferramentas de Controle
Id Ferramenta Controles
PAPEIS E RESPONSABILIDADES
Id Papel Responsabilidades
PARTES INTERESSADAS
Id Área/Órgão/Setor Impacto
PREMISSAS DA CONTRATAÇÃO
RESTRIÇÕES DA CONTRATAÇÃO
ENTREGAS PLANEJADAS
Métrica 1
Indicador de Qualidade
Mínimo aceitável
Métrica
Ferramentas
Periodicidade Aferição
Métrica “N”
Indicador de Qualidade
Mínimo aceitável
Métrica
Ferramentas
Periodicidade Aferição
RESULTADOS ESPERADOS
Id Entrega Benefícios
5 – INSTRUÇÕES COMPLEMENTARES
6 - CIÊNCIA
Fiscais do Contrato
Gestor do Contrato
______________________
<Nome>
Matrícula: <Matr.>
Contratada
______________________
<Nome>
CPF/CNPJ: <...>
ANEXO I-I
INTRODUÇÃO
O Plano de Fiscalização descreverá as atividades de acompanhamento e fiscalização da execução do contrato de fornecimento da Solução de
1 – IDENTIFICAÇÃO DO CONTRATO
Contrato nº:
Contratante
Fiscal Requisitante
Fiscal Técnico
Fiscal Administrativo
Gestor do Contrato
Contratada
CNPJ
Métrica 1
Indicador de Qualidade
Mínimo aceitável
Métrica
Ferramentas
Periodicidade Aferição
FISCAIS DO CONTRATO
GESTOR DO CONTRATO
______________________
<Nome>
Matrícula: <Matr.>
CONTRATADA
______________________
ANEXO I-J
Empresa:______________________________________________________________
C.N.P.J.(MF):_____________________________Tel/Fax:_______________________
Endereço:______________________________________________________________
Nome do Representante: __________________________________________________
Endereço Eletrônico (e-mail): ______________________________________________
Declaro, sob as penas da Lei nº 6.938/1981, na qualidade de proponente do procedimento licitatório, sob a modalidade Pregão Eletrônico nº
__________, instaurado pelo Processo de nº 08006.000003/2021-38, que atendemos aos critérios de qualidade ambiental e sustentabilidade
socioambiental, respeitando as normas de proteção do meio ambiente.
Estou ciente da obrigatoriedade da apresentação das declarações e certidões pertinentes dos órgãos competentes quando solicitadas como
requisito para habilitação e da obrigatoriedade do cumprimento integral ao que estabelece o art. 6º e seus incisos, da Instrução Normativa nº
01, de 19 de janeiro de 2010, do Ministério do Planejamento, Orçamento e Gestão – MPOG.
Por ser a expressão da verdade, firmamos a presente.
Representante da Empresa
ANEXO I - K
TERMO DE RECEBIMENTO PROVISÓRIO
INTRODUÇÃO
O Termo de Recebimento Provisório declarará formalmente à Contratada que os serviços foram prestados
ou que os bens foram recebidos para posterior análise das conformidades e qualidade, baseadas nos
requisitos e nos critérios de aceitação definidos no Modelo de Gestão do Contrato.
Referência: Inciso XXI, Art. 2º, e alínea “a”, inciso II, art. 33, da IN SGD/ME Nº 1/2019.
1 – IDENTIFICAÇÃO
CONTRATO Nº xx/aaaa
CONTRATADA <Nome da Contratada> CNPJ xxxxxxxxxxxx
Nº DA OS/OFB <xxxx/aaaa>
TOTAL DE ITENS
3 – RECEBIMENTO
Por este instrumento, atestamos, para fins de cumprimento do disposto no art. 33, inciso II, alínea “a”, da
IN SGD/ME nº 01/2019, atualizada pela IN SGD/ME nº 31/2021, que os <serviços / bens> correspondentes
à <OS/OFB> acima identificada, conforme definido no Modelo de Execução do contrato supracitado,
foram recebidos provisoriamente na presente data e serão objetos de avaliação por parte da
CONTRATANTE quanto à adequação da entrega às condições contratuais, de acordo com os Critérios de
Aceitação previamente definidos no Modelo de Gestão do contrato.
Ressaltamos que o recebimento definitivo destes serviços ocorrerá após a verificação dos requisitos e
demais condições contratuais, desde que não se observem inconformidades ou divergências quanto às
especificações constantes do Termo de Referência e do Contrato acima identificado que ensejem correções
por parte da CONTRATADA.
4 – ASSINATURAS
FISCAL TÉCNICO
__________________________________
<Nome do Fiscal Técnico do Contrato>
Matrícula: xxxxxx
PREPOSTO
________________________
<Nome do Preposto do Contrato>
Matrícula: xxxxxx
ANEXO I-L
INTRODUÇÃO
O Termo de Recebimento Definitivo declarará formalmente à Contratada que os serviços prestados ou que
os bens fornecidos foram devidamente avaliados e atendem aos requisitos estabelecidos e aos critérios de
aceitação.
Referência: Alínea “f”, inciso II, e alínea “d”, inciso III, do art. 33, da IN SGD/ME Nº 1/2019.
1 – IDENTIFICAÇÃO
CONTRATO Nº xx/aaaa
CONTRATADA <Nome da Contratada> CNPJ xxxxxxxxxxxx
Nº DA OS/OFB <xxxx/aaaa>
DATA DA EMISSÃO <dd/mm/aaaa>
TOTAL DE ITENS
5 – ASSINATURA
FISCAL TÉCNICO FISCAL REQUISITANTE
________________________ ________________________
<Nome do Fiscal Técnico> <Nome do Fiscal Requisitante>
Matrícula: xxxxxxxx Matrícula: xxxxxxxx
I - Integrante Requisitante: Ivanildo de Oliveira da Silva JR, SIAPE 2535600, CPF 031.033.324-59;
II - Integrante Requisitante substituto: Joédes Cardoso da Silva, SIAPE 3730955, CPF 523.656.891-
91;
III - Integrante Técnico: Cintia Mye Yonekawa Yamaguti, SIAPE 3201981, CPF 619.425.371-15;
III - Integrante Técnico: Ivanildo de Oliveira da Silva JR, SIAPE 2535600, CPF 031.033.324-59;
IV - Integrante Técnico Substituto: Madson Luiz Magno da Silva, CPF 047.519.171-45;
V - Integrante Administrativo: Gustavo Henrique Corrêa de Paula Maciel, CPF nº 916.497.571-15 e
VI - Integrante Administrativo Substituto: Lorenna Ayres Leal Lima, SIAPE 1710987.
Aprovo o presente Termo de Referência nos termos do Art. 11 da Portaria SE nº 1.008, de 25 de Abril de
2019.
1. Informações Básicas
[Este documento é sigiloso | Justificativa: Documento em validação interna. Não publicado.]
2. Introdução
O Estudo Técnico Preliminar tem por objetivo identificar e analisar os cenários para o atendimento da demanda que consta no
Documento de Oficialização da Demanda, bem como demonstrar a viabilidade técnica e econômica das soluções identificadas,
fornecendo as informações necessárias para subsidiar o respectivo processo de contratação.
Contratação de empresa especializada, para o fornecimento de Serviço de Centro de Operações de Segurança (Security
Operations Center - SOC) com funcionamento e suporte 24h por dia e 7 dias por semana, Serviço de tratamento e resposta aos
incidentes cibernéticos - CSIRT - Blue Team e Serviço de teste de invasão - Red Team, pelo período de 24(vinte e quatro) meses,
renováveis até o limite de 60 (sessenta) meses, para o atendimento das necessidades da Diretoria de Tecnologia da Informação e
Comunicação - DTIC do Ministério da Justiça e Segurança Pública - MJSP, de acordo com as especificações técnicas contidas
neste Termo de Referência – TR e seus anexos.
3. Descrição da necessidade
3.1 O Ministério da Justiça e Segurança Pública possui um ambiente composto por uma diversidade de tecnologias, pessoas que
as acessam, sistemas, locais e informações que juntas elevam a complexidade da gestão de segurança da informação.
3.2 O SIEM a ser utilizado na prestação de serviço, e os softwares de SOAR/NTA/UEBA/CTI, serão fornecidos pelo MJSP.
Outros softwares necessários para a prestação de serviço devem ser fornecidos pela Contratada, conforme detalhado em outros
itens deste ETP.
3.3 No que diz respeito a diversidade de Tecnologias, quantitativos consolidados, relação de sistemas e outras informações,
foram levantadas e o resumo pode ser visualizado na tabela abaixo.
1 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 79
UASG 200005 Estudo Técnico Preliminar 27/2021
3.4 As organizações, sejam elas de qualquer segmento ou tamanho, cada vez mais utilizam os serviços da TIC - Tecnologia da
Informação e Comunicação como meio para atingirem seus objetivos. Com a transformação digital cada vez mais presente nas
organizações, riscos, ameaças e vulnerabilidades que antes não existiam, começaram a surgir. Com dados e informações na
nuvem, transações feitas através da internet e redes Wi-Fi, facilitam o dia a dia. Mas também abrem brechas de segurança para
ataques de hackers, roubo de informações e outras ameaças à segurança virtual.
Figura 1 - End of Year Data Breach Report 2019 - Identity Theft Resource Center
3.5 De acordo com o relatório de violação de dados de final de ano 2019 da Identity Theft Resource Center - ITRC, houve
exposição de registros, sensíveis ou não, em centenas de vazamentos, conforme a figura 1:
3.6 De acordo com a figura 2, temos os tipos de violações de dados por método de ataque e segmento da indústria:
Figura 2 - End of Year Data Breach Report 2019 - Identity Theft Resource Center
3.7 No segmento governo, o método de ataque mais utilizado foi Hacking/Intrusion com cerca de 42,2%, assim como, em todos
os outros segmentos. Não se deve considerar o número de violações de dados de forma absoluta, mas se deve levar em
consideração a sensibilidade do dado violado não somente, o prejuízo financeiro imediato associado.
3.8.1 No Brasil, o CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet, mantido pelo NIC.br, do
Comitê Gestor da Internet no Brasil. É responsável por tratar incidentes de segurança em computadores que envolvam
redes conectadas à Internet no Brasil.
2 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 80
UASG 200005 Estudo Técnico Preliminar 27/2021
3.8.2 Atua como um ponto central para notificações de incidentes de segurança no Brasil, provendo a coordenação e o
apoio no processo de resposta a incidentes e, quando necessário, colocando as partes envolvidas em contato.
3.8.3 O CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Estas notificações são voluntárias
e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br. Os dados sumarizados são
apresentados na figura 3.
Figura 3 - Total de incidentes reportados, Fonte: CERT.br disponível em https://www.cert.br/stats/incidentes/ acesso em 13/05
/2021.
3.9.1 A Tabela 2 apresenta os Totais Mensais e Anual Classificados por Tipo de Ataque.
3 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 81
UASG 200005 Estudo Técnico Preliminar 27/2021
Legenda:
worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
DoS (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para
tirar de operação um serviço, computador ou rede.
invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo
disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços
habilitados em um computador.
fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro".
Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade
de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.
4 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 82
UASG 200005 Estudo Técnico Preliminar 27/2021
3.11 Na Figura 6 são apresentadas as Notificações sobre equipamentos participando em ataques DoS.
Figura 6 - Notificações sobre equipamentos participando em ataques DoS - Fonte: CERT.br disponível em https://www.cert.br
/stats/incidentes/2020-jan-jun/dos.html acesso em 13/05/2021.
5 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 83
UASG 200005 Estudo Técnico Preliminar 27/2021
3.14 Na Figura 9 são apresentados os totais de incidentes reportados ao CERT.BR, considerando a origem do ataque.
6 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 84
UASG 200005 Estudo Técnico Preliminar 27/2021
Figura 9 - Top 10 Country Codes origem de ataques - Fonte: CERT.br disponível em https://www.cert.br/stats/incidentes
/2020-jan-jun/top-cc.html acesso em 13/05/2021.
3.15 Diante desse cenário complexo e misto, a contratação de uma equipe dedicada ao monitoramento, prevenção e reposta a
incidentes de segurança se torna imprescindível.
3.16 É possível perceber a função de um Security Operations Center - SOC, a partir do trecho extraído da brochura do Kaspersky
for Security Operations Center, conforme a seguir:
"As businesses learn to better protect themselves, criminals are simultaneously devising increasingly sophisticated
techniques to penetrate their security barriers. Attracted by the unprecedented financial rewards that cyberattacks can
deliver, growing numbers of threat actors are actively seeking and targeting undiscovered security flaws. In this
environment, many organizations are establishing Security Operations Centers (SOCs) to combat security issues as they
arise, providing a swift response and a decisive resolution." (https://media.kaspersky.com/en/business-security/enterprise
/brochure-soc-powered-by-kl-eng.pdf)
"À medida que as empresas aprendem a se proteger melhor, os criminosos estão simultaneamente planejando cada vez
mais técnicas sofisticadas para penetrar em suas barreiras de segurança. Atraídos pelas recompensas financeiras sem
precedentes que os ciberataques podem oferecer, um número crescente de atores de ameaças está ativamente buscando e
direcionando falhas de segurança não descobertas. Nesse ambiente, muitas organizações estão estabelecendo Centrais de
Operações de Segurança SOCs para combater os problemas de segurança à medida que surgem, fornecendo uma resposta
rápida e uma resolução decisiva." (tradução livre)
3.17 Partindo dessa percepção, um SOC (utilizaremos o acrônimo em inglês), é um ente centralizado com a função de
monitoramento contínuo de ameaças, análise dessas ameaças, bem como, para prevenção e mitigação de incidentes de
cibersegurança.
3.18 A crescente demanda pela eficiência na segurança da informação fez com que as organizações passassem a lidar com o
assunto de forma mais estratégica. A formação de um Blue Team e um Red Team é um bom exemplo disso.
3.19 Com atribuições específicas, as equipes promovem um trabalho de cibersegurança em nível mais elevado nas empresas.
Cada uma delas tem sua importância e o alinhamento entre as duas traz inúmeros benefícios.
3.20 O Red Team é formado com o objetivo de realizar testes de ciberataque na empresa. Estamos falando de profissionais com
alto conhecimento sobre as principais ameaças e ataques existentes, sendo capazes de simular tentativas de penetrar na rede e ou
sistemas. Com isso, eles se tornam capazes de identificar vulnerabilidades e, consequentemente, eliminá-las.
7 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 85
UASG 200005 Estudo Técnico Preliminar 27/2021
3.21 Resumidamente, eles assumem o papel de alguém que tentaria atacar a empresa — o que geralmente pode envolver a
contratação de alguém de fora, sem o olhar acostumado àquele ambiente. Os ataques podem envolver engenharia social para
enviar phishing aos funcionários, por exemplo.
3.22 O papel do Blue Team é justamente se opor aos ataques, inclusive aqueles ensaiados pelo Red Team. Assim, ele deve
desenvolver estratégias para aumentar as defesas, modificando e reagrupando os mecanismos de proteção da rede para que eles se
tornem mais fortes.
3.23 Um time desse tipo deve ter também um alto nível de conhecimento sobre a natureza das ameaças da rede. Entretanto, eles
devem ser capazes não só de eliminar brechas, mas de reformular a infraestrutura de defesa como um todo.
3.24 Podemos extrair o que se entende por Blue Team, Red Team e Purple Team a partir das definições da autoridade mundial no
tema, SANs:
- Blue Team:
"[...] focus is to defend the organization from digital/cyber attacks. In truth, while everything that improves the defensive
security posture
could be construed as Blue Team, there is an overt emphasis on discovering and defending against attacks". (https://wiki.
sans.blue/#!index.md)
"[...] focado em defender a organização de digital/cyber ataques. Na verdade, enquanto tudo que promova a postura
defensiva de segurança possa ser entendida como Blue Team, há uma ênfase na descoberta e defesa contra esses
ataques. " (Tradução Livre)
- Red Team:
"[...] would be those playing the role of the adversary. [...] So Red Team acts as Offense and Blue Team as Defense."
(https://wiki.sans.blue/#!index.md)
"[...] serial aqueles que atuam o papel de adversários. [...] Então o Red Team atua como ofensiva e Blue Tema como
defensiva." (Tradução Livre)
- Purple Team:
"[...] They typically report to a as a "third" team; think of it as a concept aimed at bringing the red and blue teams
together to create purple team exercises. Red teams and blue teams should be encouraged to work as a joint team, to
share insights beyond just reporting, to create a strong feedback loop, and to look for detection and prevention controls
that can realistically be implemented for immediate improvement. " (https://www.sans.org/purple-team?msc=ptcourse-
faq-lp)
"[...] Eles se denominam como o 'terceiro' time; pense nisso como um conceito que visa reunir as equipes vermelhas e
azuis para criar exercícios de purple team. Equipes vermelhas e azuis devem ser incentivadas a trabalhar como uma
equipe conjunta, para compartilhar ideias além somente gerar relatórios, a criar um forte ciclo de feedback, e a
procurar controles de detecção e prevenção que possam ser implementados realisticamente para melhoria imediata."
3.25 A SANS - System Administration, Networking and Security é uma empresa especializada em segurança da informação
e treinamento de cybersegurança. Definição o que é SANS :
SANS is the most trusted and by far the largest source for cybersecurity training in the world. We offer training
through several delivery methods including OnDemand (self paced) and instructor-led both Live Online (virtual) and In-
Person. Our cybersecurity courses are developed by industry leaders in numerous fields including network security,
digital forensics, offensive operations, cybersecurity leadership, industrial control systems, and cloud security. Courses
are taught by real-world practitioners who are the best at ensuring you not only learn the material, but that you can
apply it immediately when you return to the office. In addition to top-notch training, we offer certification via GIAC, an
affiliate of the SANS Institute featuring over 35 hands-on, technical certifications in cyber security. We offer a Master's
Degree, graduate and undergraduate certificate programs through SANS Technology Institute, as well as numerous free
resources including newsletters, whitepapers and webcasts.
SANS é a mais confiável e de longe a maior fonte de treinamento em segurança cibernética do mundo. Oferecendo
treinamento por meio de vários métodos de entrega, incluindo OnDemand (individualizado) e ministrado por instrutor
ao vivo online (virtual) e presencial. Os cursos de segurança cibernética são desenvolvidos por líderes do setor em
diversos campos, incluindo segurança de rede, análise forense digital, operações ofensivas, liderança em segurança
8 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 86
UASG 200005 Estudo Técnico Preliminar 27/2021
cibernética, sistemas de controle industrial e segurança em nuvem. Os cursos são ministrados por profissionais do
mundo real que são os melhores em garantir que você não apenas aprenda o material, mas também que possa aplicá-lo
imediatamente ao retornar ao escritório. Além do treinamento de alto nível, oferece certificação via GIAC, uma afiliada
do SANS Institute com mais de 35 certificações técnicas práticas em segurança cibernética. Oferece programas de
certificado de mestrado, pós-graduação e graduação por meio do SANS Technology Institute, bem como diversos
recursos gratuitos, incluindo boletins, white papers e webcasts.
3.26 Considerando as definições acima inseridas para Blue Team, Red Team e Purple Team, podemos afirmar,
simplificadamente que o Blue Team é o elo de defesa e sua operação, o Red Team seria o ente de ataque o qual checa as defesas
implementadas pelo Blue Team. O Purple Team seria o esforço coordenado envolvendo os dois grupos para examinar novas
técnicas de invasão, desenvolver defesas melhoradas e enfrentar ataques de equipe vermelha.
3.27 De acordo com o modelo de arquitetura de segurança adaptativa proposto pelo Gartner, uma organização somente obterá
sucesso na luta contra os crimes cibernéticos se seu SOC for capaz de predizer, prever, detectar e responder efetivamente as
ameaças, conforme podemos visualizar na figura 10 :
3.27 Levando esse modelo em consideração o Ministério da Justiça e Segurança Pública objetiva contratar um serviço o qual
contemple as equipes de Blue Team, Red Team e Purple Team, de forma 24h por dia e 7 dias por semana para o monitoramento e
defesa de primeiro nível, em horário comercial para o suporte de segundo nível, e sob demanda para atividades de Red Team.
3.28 Busca-se com o presente Estudo Técnico Preliminar demonstrar a necessidade que o Ministério da Justiça e Segurança
Pública possui em contratar um serviço de SOC, assim como, identificar as necessidades de negócio, tecnológicas, bem como, os
demais requisitos necessários e suficientes à escolha dessa solução de TIC.
4. Área requisitante
Área Requisitante Responsável
Coordenação de Riscos e Segurança de TIC Ivanildo de Oliveira da Silva JR
9 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 87
UASG 200005 Estudo Técnico Preliminar 27/2021
5. Necessidades de Negócio
5.1 Na tabela 3, são apresentadas as necessidades de negócio de acordo com o PDTIC 2021 (A0077 - Contratação de serviço de
SOC).
Reduzir riscos associados a perda de dados, comprometimento dos sistemas, imagem institucional do
1
ministério e do governo brasileiro
Desenvolver relatórios e apurações especiais, painéis gerenciais para apoio à tomada de decisão dos
7
gestores, quanto ao risco da instituição.
Contribuir para o aumento da capacidade de resiliência dos ativos de informação e das infraestruturas
11
críticas
Manter uma equipe ininterrupta de resposta rápida e efetiva a ataques e incidentes de segurança da
13
informação
10 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 88
UASG 200005 Estudo Técnico Preliminar 27/2021
6. Necessidades Tecnológicas
6.1 Na tabela 4, são apresentadas as necessidades tecnológicas.
Monitorar ininterruptamente de forma automatizada a sensibilidade dos dados de acordo com a Lei Geral
1
de Proteção de Dados
Prover análise interna e externa dos ativos de TIC, com escopo em segurança da informação, a partir de
5
ferramentas do Ministério da Justiça e Segurança Pública ou próprias
Implantar painel em tempo real que demonstre a situação atual em termos de risco e segurança da
6
informação do Ministério da Justiça e Segurança Pública
7 Prover relatórios Post Mortem dos ataques à infraestrutura do Ministério da Justiça e Segurança Pública
11 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 89
UASG 200005 Estudo Técnico Preliminar 27/2021
Manter equipe 24 horas por dia e 7 dias por semanas de forma ininterrupta provendo os serviços SOC
2
e Blue Team ao Ministério da Justiça e Segurança Pública
Prover equipe sob demanda da Coordenação de Riscos e Segurança da informação para atividades de SOC
3
relacionadas a Red Team.
4 Prover equipe de Purple Team para coordenação das equipes de Blue Team e Red Team.
- Serviço de Security Operations Center - SOC destinado a ser o ente central da estrutura de monitoramento e controle
dos incidentes de segurança da informação, operando 24h por dia e 7 dias por semana para suporte de primeiro nível na
triagem, investigação e resposta a incidente.
- Serviço de Tratamento e Resposta aos Incidentes Cibernéticos - CSIRT - Blue Team responsável por atuar sob o
comando do SOC quando da ocorrência de incidentes de segurança da informação ou sempre que solicitado visando
contribuir com a melhoria da segurança da informação, sendo 24h por dia e 7 dias por semana para apoio ao suporte de
primeiro nível e demais níveis realizado pelo SOC e em horário comercial, sendo 12h por dia 5 dias por semana,
para suporte sob demanda.
- Serviço de Teste de Invasão - Red Team responsável por realizar testes independentes de penetração e análise de
segurança mediante demanda da Coordenação de Riscos e Segurança da Informação - CRS.
8.2 Para um melhor entendimento foi definido um diagrama de relacionamento dos serviços e seus respectivos componentes,
objeto da presente contratação, com os demais serviços da DTIC adaptado de acordo com o Framework para implementar um
SOC de Schinagl, S., Schoon, K., & Paans, R. (2015). A framework for designing a security operations centre (SOC).
Proceedings of the Annual Hawaii International Conference on System Sciences, 2015-March, 2253–2262. https://doi.org/10.
1109/HICSS.2015.270.
12 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 90
UASG 200005 Estudo Técnico Preliminar 27/2021
Figura 11 - Diagrama de relacionamento dos serviços e seus respectivos componentes com os demais serviços da DTIC.
8.3 Na Figura 11 é apresentado o diagrama de interação, para a presente contração, entre o MJSP representado pela DTIC e a
CRS com o papel de gestores estratégicos, táticos e operacionais com a Infraestrutura de TIC do MJSP e os serviços de SOC, de
Tratamento e Resposta a Incidentes Cibernéticos e de Testes de Invasão.
8.3.1 A DTIC com o papel de Governança e Controle atuando na gestão estratégica realizando a conformidade e função:
8.3.2 A CRS com o papel de Segurança atuando na gestão tática e operacional e realizando conformidade e funções:
7.3.2.2 Dashboards;
7.3.2.5 Pentest;
13 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 91
UASG 200005 Estudo Técnico Preliminar 27/2021
7.3.2.7 Intermediando as ações de aprovação e autorizações das requisições entre o CSIRT e SOC com a
Infraestrutura de TIC do MJSP;
8.3.3 O Serviços de SOC, CSIRT e Red Team executando de forma colaborativa e integrada e conforme o framework de
segurança cibernética (CSF) do NIST para CSIRT e SOC, bem como OSSTMM 3, ISSAF/PTF, NIST SP 800-115 e 800-
42 e OWASP TB 4.1 para o Red Team, os papeis:
8.3.3.1 Inteligência - através da equipe de especialistas Blue Team do CSIRT com as funções de Análise
especificas de inteligência e de incidentes de segurança de acordo com os Padrões de Ataques;
8.3.3.2 Forense - através da equipe de especialistas Blue Team com as funções de Análise de Logs e
Investigação;
8.3.3.3 Segurança Básica - através da equipe de analistas do SOC com as funções de Escaneamento de
conformidade e vulnerabilidade;
8.3.3.4 Monitoramento - através da equipe de analistas do SOC com as funções de Observação e Coleção e
Seleção de Logs dos alertas de eventos e realizando a ajustes devidos de regras da Plataforma de SIEM/SOAR
/NTA/UEBA/CTI do MJSP.
8.3.3.5 Pentest - através da equipe de especialistas Red Team com a função de Testes de invasão.
8.3.4 Infraestrutura de TIC do MJSP executando a sustentação do parque computacional com os papeis e componentes:
8.3.4.1 Suporte N1, N2 e N3 - através de equipe técnica terceirizada com a realização das funções do processo de
incidente de segurança, endurecimento de políticas e aplicação de patching e hotfix, aprovadas pela CRS, de requisições
feitas pela CSIRT, SOC e Red Team.
8.3.4.2 NOC - através de equipe técnica (atualmente terceirizada) com a monitoramento da infraestrutura de TIC.
8.3.4.3 Plataforma de SIEM/SOAR/NTA/UEBA/CTI do MJSP com um consumo aproximado de 200 GB/dia de eventos
sendo:
8.4.1 O SOC funcionará de forma ininterrupta 24 horas por dia e 7 dias por semana realizando as seguintes atividades, não se
restringindo somente a elas:
8.4.1.1 Monitoramento continuo e análise, predizendo, prevendo, detectando e respondendo efetivamente as ameaças de
todos incidentes de segurança.
8.4.1.2 Gerar painéis dinâmicos e em tempo real da situação atual de segurança do Ministério informando através de um
score o nível de segurança.
8.4.1.3 Atuar como suporte de primeiro nível aos incidentes de segurança identificando, classificando, interrompendo,
catalogando todas as tentativas de ataque aos sistemas e à infraestrutura do ministério.
8.4.1.4 Demandar ao NOC ou ao Suporte N1, N2 e N3 da infraestrutura de TIC do Ministério medidas a serem tomadas
para evitar ou conter incidente.
8.4.1.5 Atuar no sentido de interromper um incidente quando da inoperância do NOC ou suporte N1, N2 e N3, dentro
dos serviços autorizados em reunião inicial entre a CONTRATANTE e CONTRATADA, os quais o SOC poderá agir em
substituição ao NOC. Todas as ações tomadas devem ser posteriormente repassadas ao NOC ou suporte da infraestrutura
e a CRS.
14 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 92
UASG 200005 Estudo Técnico Preliminar 27/2021
8.4.1.6 Outros serviços os quais o SOC atuará em substituição ao NOC, poderão ser definidos durante a vigência do
contrato, por meio de reuniões entre a CONTRATANTE e a CONTRATADA
8.4.1.8 Prestar o serviço de SOC realizando a detecção, triagem, investigação e resposta a incidente de eventos
utilizando Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério que possui as seguintes funções:
8.4.1.8.1.5 Análise de Comportamento de Usuário (User Entity and Behavior Analytics - UEBA);
8.4.1.8.2.1 Informações de segurança e gestão de eventos (Security Information and Event Management
- SIEM).
8.4.1.10 Caso as ferramentas de propriedade do Ministério não atendam a completa execução dos serviços objeto da
presente contratação a contratada poderá adotar solução tecnológica complementar em termo de hardware e software.
8.4.1.11 A CONTRATADA poderá utilizar soluções de hardware e software proprietárias desde que previamente
autorizadas pelo CONTRATANTE, arcando a CONTRATADA com todos os custos diretos e indiretos inerentes a
utilização de solução tecnológica e seus licenciamentos necessários.
8.4.1.12 Garantir a implementação do Modelo Adaptativo de Arquitetura de Segurança para Proteção de ataques
avançados da Gartner exibido na figura 10.
8.4.2 Prevê-se que o SOC funcionará como o centralizador de todas as informações de segurança da informação e suporte de
primeiro nível, por isso, a necessidade de seu funcionamento ser ininterrupto. O dimensionamento da equipe do SOC será a cargo
da contratada em quantitativo mínimo que garanta o monitoramento ininterrupto de seu funcionamento, a qualidade das
informações prestadas e estar apta a atuar no estado da arte em termos de segurança da informação, assim como cumprir os
Acordos de Nível de Serviço determinados.
8.5 Serviço de Tratamento e Resposta aos Incidentes Cibernéticos - CSIRT - Blue Team
8.5.1 O Blue Team funcionará de forma ininterrupta associado ao SOC para atividades de apoio ao suporte de primeiro
nível e contenção de ataques, bem com, para atividades e suporte de segundo nível em diante.
8.5.2 No que diz respeito ao time de primeiro nível, este atuará associado ao SOC de forma ininterrupta uma vez que o
nível de qualificação para essas atividades são inferiores aos de segundo nível.
8.5.3 Considerando que a equipe de especialistas de atividades e suporte em segundo nível em diante exige uma
qualificação elevada e visando uma redução dos custos na contratação, o Ministério estima que a necessidade por esse
tipo de profissional poderá ser utilizada em horário comercial, quando em necessidade urgente devido a um ataque, ou
sob demanda fora do horário comercial.
8.5.4 Destacam-se algumas atividades que a equipe de especialistas Blue Team será responsável, não se restringindo
somente a estas:
15 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 93
UASG 200005 Estudo Técnico Preliminar 27/2021
8.5.4.7 Atuar sob orientação do CRS quando de análises realizadas pelo Red Team.
8.5.4.8 Sugerir melhorias na segurança da informação do ministério a partir das melhores práticas internacionais.
8.5.4.9 Prover a transferência de conhecimento ao corpo técnico da CRS de sistemas, produtos e soluções
utilizados com o fornecimento de perfil de acesso para a supervisão dos serviços prestados.
8.5.5 Analisar, remediar, conter e documentar os eventos de segurança da informação que foram transformados em um
incidente de segurança da informação. Tal serviço deverá ser executado obedecendo os frameworks de segurança
cibernética do NIST CSF (Cybersecurity Framework) e boas práticas de mercado ou framework definido pelo Ministério.
8.6.1 O Red Team funcionará sob demanda da CRS sem o conhecimento dos outros entes.
8.6.2 Muitas vezes pelo fato de uma equipe estar diretamente associada aos eventos de monitoramento, configuração e
suporte, algumas brechas deixam de ser observadas, não por descuido, mas por uma "visão de túnel". Diante disso, torna-
se crucial que exista uma equipe que possa ter uma visão externa ao processo e é nesse cenário que o Red Team torna-se
essencial.
8.6.3 Destacam-se algumas atividades que o Red Team será responsável, sob demanda, não se restringindo somente a
estas:
8.6.3.1 Infligir ataques a infraestrutura de segurança interna e externa de rede e sistemas do ministério de modo
não destrutivo.
8.6.3.2 Realizar tentativas de Data Exfiltration, Internal & External Reconnissance, ShadowMap Scan,
Vulnerability Assessment, Social Engineering, Exploitaion, Pivoting / Lateral Movements, entre outros, a rede e
aos sistemas do ministério, obedecendo o framework de segurança MITRE ATT&CK que utiliza base global de
conhecimento das táticas, técnicas e procedimentos (TTP’s) utilizados por atacantes para avaliar a efetividade
dos controles de segurança.
8.6.3.4 Sugerir após o ataque melhorias na infraestrutura a serem implementadas pela equipe de Infraestrutura de
TIC do Ministério com o apoio da equipe de Blue Team, após as devidas aprovações e autorizações da CRS.
8.6.4 O time de Red Team deve ser independente do Blue Team. Além disso, os dias de suas incursões não devem ser de
conhecimento da equipe de defesa.
8.7 Os serviços citados anteriormente justificam-se devido ao diminuto corpo técnico do Ministério da Justiça e Segurança
Pública, visando a não interrupção e o tratamento efetivo das descobertas do Red Team.
16 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 94
UASG 200005 Estudo Técnico Preliminar 27/2021
9. Levantamento de soluções
9.1 Foram identificadas 4 possíveis soluções, conforme relacionadas na tabela 6.
Id Descrição da Solução
Realização dos Serviços de SOC, Blue Team, Red Team e Purple Team pelos servidores lotados na
1
Coordenação de Riscos e Segurança do Ministério da Justiça e Segurança Pública
Solução 1 X
Solução 2 X
A Solução encontra-se implantada em outro órgão ou entidade da
Administração Pública?
Solução 3 X
Solução 4 X
Solução 1 X
Solução 2 X
A Solução está disponível no Portal do Software Público Brasileiro?
Solução 4 X
Solução 1 X
Solução 2 X
17 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 95
UASG 200005 Estudo Técnico Preliminar 27/2021
Solução 4 X
Solução 1 X
Solução 2 X
A Solução é aderente às políticas, premissas e especificações
técnicas definidas pelos Padrões de governo ePing, eMag, ePWG?
Solução 3 X
Solução 4 X
Solução 1 X
Solução 4 X
Solução 1 X
Solução 2 X
A Solução é aderente às orientações, premissas e especificações
técnicas e funcionais do e-ARQ Brasil? (quando o objetivo da
solução abranger documentos arquivísticos)
Solução 3 X
Solução 4 X
Solução 1 X
Solução 2 X
Atuar de forma sincronizada com o Network Operations Center -
NOC
Solução 3 X
Solução 4 X
Solução 1 X
Solução 2 X
Manter equipe 24 horas por dia e 7 dias por semanas de forma
ininterrupta provendo os serviços SOC e Blue Team ao Ministério
da Justiça e Segurança Pública
Solução 3 X
18 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 96
UASG 200005 Estudo Técnico Preliminar 27/2021
Solução 4 X
Solução 1 X
Solução 2 X
Prover equipe sob demanda da Coordenação de Riscos e Segurança
da informação para atividades de SOC relacionadas a Red Team.
Solução 3 X
Solução 4 X
11.1.1 Descrição: A solução um considera a utilização do corpo de servidores lotados na Coordenação de Risco e
Segurança - CRS para desempenhar as tarefas de SOC, Blue Team, Red Team e Purple Team.
11.1.2 Justificativa: Segundo dados do Portal de Gestão de Pessoas, disponível na intranet em maio de 2021, a força de
trabalho do Ministério da Justiça e Segurança Pública é de 1.333 pessoas, sendo que destas apenas 410 são do quadro
próprio, ou seja, correspondem ao ativo permanente do órgão, conforme apresentado na figura 12.
Figura 12 - Força de trabalho do MJSP, Fonte: Portal Gestão de Pessoas, disponível em https://justicagovbr.sharepoint.com
/sites/intra-CGGP/SitePages/For%C3%A7a-de-Trabalho.aspx, acesso em 09/06/2021.
19 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 97
UASG 200005 Estudo Técnico Preliminar 27/2021
11.1.3 Na Diretoria de Tecnologia da Informação e Comunicação são 78 pessoas, sendo que destas apenas 8 são do
quadro de ativo permanente, conforme apresentado na figura-13.
Figura 13 - Força de trabalho da DTIC, Fonte: Portal Gestão de Pessoas, disponível em https://justicagovbr.sharepoint.com
/sites/intra-CGGP/SitePages/For%C3%A7a-de-Trabalho.aspx, acesso em 09/06/2021.
11.1.4 Baseado nas recomendações da Gartner, o estudo "Como planejar, projetar, operar e evoluir um SOC" publicado
em 6 de setembro de 2018 (https://www.gartner.com/document/3889122?ref=cust_reco_sdemail&docType=
RESEARCH), um dos pré-requisitos para implantar o SOC:
"um SOC 24/7 interno exigirá uma equipe de oito a 12 pessoas no mínimo. Se não houver esses
recursos, comece seu planejamento de SOC com uma opção híbrida que depende substancialmente de um ou
mais provedores de serviços, em particular para funções que precisam de cobertura 24 horas por dia, 7 dias por
semana."
11.1.5 Baseado nas recomendações da Gartner, considerando o quantitativo de pessoas do quadro de ativo permanente na
Diretoria de Tecnologia e Comunicação, conforme item 11.1.3, e considerando o quantitativo de ativos instalados no
MJSP, de acordo com Relatório sobre Informações da Infraestrutura do MJSP, a criação de um SOC com pessoal interno
não seria viável.
11.1.6 Verifica-se que o atual modelo de contratações, por meio a compra de produtos e a contratação de serviços de
operação, não são suficientes para fazer frente à velocidade com que surgem novos tipos de ameaças, e principalmente, a
velocidade com que o mercado de segurança evolui e lança novos produtos. Diante deste cenário, o Gartner desenvolveu
o conceito de Managed Security Services - MSS. Neste modelo empresas especialistas de segurança, atuando por meio
de Security Operations Center – SOC, ofertam diversas soluções de segurança na modalidade de serviço. As maiores
vantagens desta modalidade são:
Os serviços podem ser contratados sob demanda, conforme a necessidade e disponibilidade financeira do cliente;
20 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 98
UASG 200005 Estudo Técnico Preliminar 27/2021
Menor custo total de propriedade (Total Cost of Ownership – TCO), tendo em vista os custos de compra,
operação e capacitação contínua a longo prazo.
11.1.7 É importante destacar que no caso específico do segmento de informática, o processo de execução indireta tem se
consolidado nos últimos anos, em decorrência das normas legais, de orientações do TCU e do seu comprovado sucesso.
Ele desonera as organizações dos altos custos de operação e manutenção da infraestrutura do ambiente de tecnologia da
informação, especialmente quanto aos esforços diretos e indiretos de manutenção e para aperfeiçoamento de quadro de
profissionais especializados nestas atividades. Ainda, possibilita ao quadro técnico interno dedicar-se às principais
tarefas definidas em seu Regimento Interno do Ministério da Justiça e Segurança Pública:
I - elaborar, estabelecer, manter e propor mudanças nas políticas, normas, controles e metodologias de
Gerenciamento de Riscos e de Segurança da Informação de TIC do Ministério;
IV - assessorar o Comitê de Segurança da Informação nas questões que envolvem tecnologias em segurança da
informação e comunicações;
VI - prospectar e propor a adoção de mecanismos, equipamentos e recursos para melhoria da segurança de TIC;
VII - acompanhar e monitorar as atividades, operações e incidentes de segurança de TIC, atuando quando
necessário em seu bloqueio em última instância;
XII - desempenhar outras competências típicas da unidade, delegadas pela autoridade superior ou conforme
determinação legal.
11.1.8 Diante do exposto acima, é necessária a terceirização de parte dos serviços operacionais, permanecendo sob
responsabilidade do quadro de servidores, as funções de gestão e de planejamento, intransferíveis para empresas
terceirizadas.
11.1.9 Apesar de ter sido realizando um concurso para servidores temporários no Ministério da Justiça e Segurança
Pública esse concurso não previu vagas para a especialidade de segurança da informação. Ainda que houvesse vagas
nesse concurso, seria necessário também viabilizar, do ponto de vista normativo e operacional, a utilização de servidores
do órgão em regime de escala de trabalho e/ou de plantão 24x7, considerando que os incidentes de segurança da
informação não possuem hora específica para ocorrer. Atualmente não é permitido no âmbito do Ministério o regimento
de escala de trabalho e/ou de plantão 24x7 para os seus servidores. Desta forma, essa solução é considerada inviável.
11.2 Solução 2
11.2.1 Descrição: A solução dois considera a ampliação da Contratação do Network Operations Center - NOC para
desempenhar as tarefas de SOC, Blue Team, Red Team e Purple Team.
11.2.2 Justificativa: O Ministério da Justiça e Segurança Pública possui o Contrato nº 40/2019 (SEI 10267604), o qual
tem por objeto a prestação de serviço de service desk e sustentação de infraestrutura de tecnologia para organização,
desenvolvimento, implantação e execução continuada de tarefas de suporte, rotina e demanda, compreendendo atividades
de suporte técnico de 1º, 2º e 3º níveis, a usuários de tecnologia da informação do MJSP, abrangendo a execução de
rotinas periódicas orientação e esclarecimento de dúvidas e recebimento, registro, análise, diagnóstico e atendimento de
solicitações de usuários, sustentação e projetos de evolução do ambiente de infraestrutura tecnológica e gerenciamento
de processos de Tecnologia da Informação e Comunicações - TIC.
21 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 99
UASG 200005 Estudo Técnico Preliminar 27/2021
11.2.3 Dentre os vários serviços incluídos no contrato supracitado está o NOC, responsável pela monitoração da
infraestrutura de TIC, conforme definido no Termo de Referência (9629880), referente a contratação de empresa
especializada na prestação de serviço de service desk e sustentação de infraestrutura de tecnologia para organização.
11.2.4 Um Network Operations Center - NOC, "é responsável por lidar com incidentes que afetem a performance ou
disponibilidade, enquanto o SOC lida com incidentes de segurança que afetam os ativos de segurança"1.
11.2.5 O NOC lida com problemas relacionados ao gerenciamento, monitoramento e controle das redes dentro da
infraestrutura. Isso inclui servidores, máquinas virtuais e bancos de dados. Esses itens mantêm o fluxo de dados para os
aplicativos e sistemas usados pelo órgão. Quando a rede, site, servidores ou aplicativos caem, o NOC é responsável por
encontrar a origem do problema e fazer tudo funcionar novamente. Eles estão garantindo que a infraestrutura de TI
permaneça em funcionamento.
11.2.6 Outras funções do NOC incluem relatórios de desempenho e recomendações de melhoria, resposta à interrupção,
planejamento de capacidade, alerta de acordo com procedimentos de escalação definidos e garantir a coordenação entre
redes díspares.
11.2.7 Ter uma equipe NOC pronta para monitorar e resolver os problemas antes que eles se manifestem aos usuários
funciona melhor para minimizar o tempo de inatividade do órgão. Os NOCs geralmente têm uma sala de controle central
configurada para vigiá-los e alertá-los sobre possíveis complicações que ameaçam a infraestrutura de uma organização.
11.2.8 Enquanto um NOC trabalha para manter as redes, aplicativos e outros equipamentos em funcionamento, um SOC
(Security Operations Center) rastreia ameaças inteligentes que fazem tentativas hostis de entrar na infraestrutura de uma
organização. Esses esforços podem vir de dentro ou de fora da organização, incluindo malwares e outros softwares
suspeitos projetados para roubar dados ou causar interrupção na rede.
11.2.9 Cabe a um SOC proteger as organizações contra e-mails contendo vírus e outras ameaças acessadas
acidentalmente pelos funcionários. Eles rastreiam tentativas não autorizadas de entrar na rede de uma organização,
usando ferramentas de monitoramento de segurança e outros recursos para aprender os padrões e se adaptar às táticas
usadas.
11.2.10 Outras funções SOC incluem, mas não se limitam a, monitorar e impedir o vazamento de dados, avaliar novos
softwares para vulnerabilidades, manter as ferramentas de segurança e patches atualizados, acompanhar tendências
relacionadas a diferentes ameaças cibernéticas, implementar medidas anti-DDOS e executar testes de intrusão. A tabela
6 apresenta as principais diferencias entre os conceitos de NOC e SOC.
Usado para lidar com desafios relacionados ao Rastreia ameaças à infraestrutura, fazendo
Terminologia gerenciamento, monitoramento e controle das tentativas de usar a vulnerabilidade e entrar em
redes no ecossistema de TI do cliente. uma rede.
Para cumprir acordos de nível de serviço e Para proteger a propriedade intelectual, proteger as
gerenciar incidentes relacionados a informações confidenciais do cliente e gerenciar
Papel fundamental
disponibilidade para atingir o tempo de incidentes relacionados a disponibilidade,
atividade máximo. integridade e confidencialidade.
Tecnologia Acesso a dados em tempo real. Acesso a dados em tempo real e históricos.
22 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 100
UASG 200005 Estudo Técnico Preliminar 27/2021
Ferramentas
Software de monitoramento de falhas, Qualidade de serviço, experiência do cliente e
problemas e desempenho. software de marketing.
11.2.11 Percebe-se que as atividades desempenhadas por ambos os centros de operação são diferentes, um destinado a
segurança da informação enquanto o outro a infraestrutura de redes.
11.2.12 Isso posto, a possível solução de ampliar o Contrato nº 40/2019 (SEI 10267604) para desempenhar as tarefas de
SOC, Blue Team, Red Team e Purple Team torna-se inviável, pois poderia ser considerado como uma alteração do
objeto licitatório, uma vez que incluiria serviços não previstos originalmente na licitação.
11.2.13 Além disso, não é recomendável que quem proveja os serviços de rede verifique se ela é efetivamente segura
uma vez que, muitas vezes, falhas na verificação do próprio trabalho podem acontecer. A norma ISO 27001 considera a
segregação de funções no Sistema de Gestão de Segurança da Informação (SGSI) para minimizar o risco de uma única
posição possa ter a oportunidade de comprometer as atividades de uma organização.
11.2.14 A principal razão de se aplicar a segregação de funções é prevenir a realização e ocultação de fraude e erro no
curso normal das atividades, uma vez que havendo mais de uma pessoa para realizar uma atividade se minimiza a
oportunidade de transgressões e aumenta as chances de se detectá-la, assim como de se detectar erros não intencionais.
11.3 Solução 3
11.3.1 Descrição: A solução três considera a aquisição de Equipamentos de Segurança e/ou Softwares para desempenhar
as tarefas de SOC, Blue Team, Red Team e Purple Team.
11.3.2 Justificativa: A simples aquisição de equipamentos ou softwares de segurança não exime a necessidade de
pessoas para operá-los. Não adianta ter diversos alarmes, indicadores, sugestão ou inteligência artificial sem que se tenha
o ente humano para tratar os alarmes, observar os indicadores, implementar as sugestões ou programar e manter a
inteligência artificial.
11.3.3 Atualmente o Ministério da Justiça e Segurança Pública possui, como é possível observar no relatório de
informações sobre a infraestrutura, um vasto pool de Tecnologias, sendo o elo mais fraco dessa corrente de segurança
da informação a quantidade de pessoas dedicadas a análise, monitoramento, controle e gestão dessas tecnologias.
11.3.4 Por isso, a simples aquisição de mais tecnologia apenas irá aumentar esse pool, não aumentando a segurança da
informação do Ministério.
23 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 101
UASG 200005 Estudo Técnico Preliminar 27/2021
12.2 Das soluções apresentadas na tabela 6 - no item Levantamento de soluções, apenas a solução 4, ou seja, a contratação da
solução como serviço se mostra viável devido as características e especificidades do Ministério. Além disso, a contratação do
serviço de SOC não envolverá aquisição por parte do Ministério da Justiça e Segurança Pública de qualquer bem, software ou
sistema. Apenas o serviço prestado de SOC, Blue Team e Red Team será contratado. Os ativos, bens, sistemas, insumos
necessários a execução do serviços que forem providos pela contratada, em complemento aos disponibilizados pelo Ministério,
serão devolvidos ao final do contrato, exceto as informações produzidas durante a prestação do serviço.
12.3 Diante disso, para estimar o custo total de propriedade, utilizaremos uma contratação similar, realizada pelo Conselho da
Justiça Federal do DF, Pregão Eletrônico nº 1 de 2020, ocorrida no dia 05 de fevereiro de 2020.
12.4 Devido as características e especificidades tanto do Conselho da Justiça Federal do DF quanto do Ministério da Justiça e
Segurança Pública, adaptações serão realizadas e justificadas.
Item 1 do pregão- Serviço de operação e atendimento a requisições: para sustentar e operar todas as soluções e
produtos de segurança do CJF, bem como a realização permanente de ações proativas (gap analysis) voltadas para
a segurança do parque computacional do CJF com o objetivo de mantê-lo estável, disponível e integro.
Item 2 do pregão - Serviço de gestão de incidentes de segurança (CSIRT - Blue Team): para analisar, remediar,
conter e documentar os eventos de segurança da informação que foram transformados em um incidente de segurança
da informação, obedecendo os principais frameworks de gestão de incidentes de segurança da informação e boas práticas
de mercado.
Item 3 do pregão - Serviço de gestão de vulnerabilidades: que tem por objetivo, de forma proativa e recorrente,
identificar possíveis vulnerabilidades de segurança da informação no ambiente a fim de evitar que ataques
cibernéticos obtenham sucesso explorando vulnerabilidades conhecidas.
Item 5 do pregão - Serviço de orquestração, automação e resposta de segurança (SOAR): serviços e infraestrutura
que possam gerar eventos de segurança da informação, aos quais devem ser analisados, podendo estes
serem transformados em um incidente de segurança da informação.
Item 6 do pregão - Serviço de testes de invasão (Red Team): tem como objetivo principal identificar, mapear e
documentar possíveis vulnerabilidades nos sistemas, processos e ativos de infraestrutura tecnológica. Esses testes
envolvem, necessariamente, o uso de técnicas e ferramentas específicas para tentar obter acesso não autorizado e
privilegiado aos ativos e informações, bem como a indicação de soluções para a correção das
vulnerabilidades encontradas.
12.6 O presente Estudo Técnico Preliminar visa a contratação, conforme expresso alhures, dos seguintes itens:
12.6.1 Serviço de Security Operations Center - SOC: conforme item 8.4 deste estudo.
24 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 102
UASG 200005 Estudo Técnico Preliminar 27/2021
12.7 A tabela 9 apresenta a comparação dos serviços contratados pelo CJF com os serviço almejados pelo Ministérios da Justiça e
Segurança Pública chegamos as seguintes conclusões de equivalência, quando possível.
12.8 Cabe registrar que a ata do pregão do Conselho da Justiça Federal - CJF foi inserido no presente processo sob o número de
documento (SEI 13624102). Foi inserido no presente processo o Edital do Conselho da Justiça Federal, sob o número de
documento (SEI 13624084).
Tabela 9 - Equivalência dos serviços contratados pelo CJF e os almejados pelo MJSP.
MJSP CJF
Serviço de Blue Team Serviço de gestão de incidentes de segurança (CSIRT - Blue Team)
12.9 Além da equivalência devemos comparar o tempo de prestação dos serviços no CJF com os desejados pelo MJSP. Visando
comparar os serviços para ambos os órgãos criamos a tabela 10.
Não comparado por estar incluído nos outros serviços ou não estar relacionado com
Serviço de Purple Team
prestação em horas.
25 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 103
UASG 200005 Estudo Técnico Preliminar 27/2021
12.10 Considerando as tabelas 9 e 10 chegamos aos custos por hora e serviço para o CJF, apresentados na tabela 11:
R$ 56.520,00
1000 ativos
Serviço de monitoramento e visibilidade de
R$ 4,24 por ativo
ataques cibernéticos
R$ 4.249,97
1 Gbps
R$ 13.261,75 por 1 Gbps
R$ 13.261,75
24h x 7 dias
Serviço de orquestração, automação e
R$34,26 por hora
resposta de segurança (SOAR)
R$ 24.670,00
24h x 7 dias
Serviço de gestão de incidentes de segurança
R$ 25,62 por hora
(CSIRT - Blue Team)
R$ 18.443,65
12.11 Diante das equivalências demonstradas pela Tabela 9, 10 e 11, podemos estimar o custo total de propriedade para a
contratação dos serviços no MJSP. Conforme tabela 12. Os serviços "Serviço de monitoramento e visibilidade de ataques
cibernéticos", "Serviço de orquestração, automação e resposta de segurança (SOAR)" e "Serviço de gestão de
26 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 104
UASG 200005 Estudo Técnico Preliminar 27/2021
vulnerabilidades" não foram considerados por tratarem de serviços relacionados a contratação de software, que não são objeto da
contratação sendo realizada pelo MJSP.
Com o auxílio das tabelas 9, 10 e 11 chegamos a uma estimativa para o custo de uma possível contratação para o
Ministério da Justiça e Segurança Pública, que é apresentado na tabela 12:
Serviço de
Security
Operations
Center -
17.280 x R$ 233,55 =
SOC Serviço de
24h x 7 dias = 720 horas 168.156,00 por mês
operação e R$ 233,55 por
+ atendimento a hora
720 x 24 meses = 17.280 e R$ 4.035.744,00 por 24
requisições
meses
Blue
Team
Suporte
Nivel 1
Serviço de
Blue Serviço de gestão
24h x 7 dias = 720 horas 720 horas x R$ 25,62 = R$
Team de incidentes de
R$ 25,62 por hora 18.446,40 por mês e R$
Suporte segurança (CSIRT
720 x 24 meses = 17.280 442.713,60 por 24 meses
Nível 2 - Blue Team)
em diante
Sob demanda
217 Sistemas
14 Appliance de Segurança
27 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 105
UASG 200005 Estudo Técnico Preliminar 27/2021
por alvo + /
Serviço de Serviço de testes
Red Team de invasão (Red 24 meses
18 Sistemas de Armazenamento
Team)
= 827 alvos
12.12 Cabe o registro de que equipe de planejamento buscou junto a contratações similares, mas não encontrou uma métrica
precisa e comum de mercado para definir o quantitativo e variação dos serviços de SOC sem considerar a contratação de
software. Nesse sentido o dimensionamento da equipe para execução adequada dos serviços será de responsabilidade da
CONTRATADA, devendo ser suficiente para o cumprimento integral dos níveis mínimos de serviço exigidos.
12.13 Considerando o valor mensal de R$ 186.602,40 referente aos serviços contínuos, foi multiplicado por 12 meses, para
chegar ao valor anual de R$ 2.239.228,80 e somado a metade do valor estimado referente ao serviço de testes de invasão (Red
Team) de 24 meses que é de R$ 475.872,34, chega-se ao total de R$ 2.715.101,14 para 12 meses, conforme valores unitários e
totais da tabela 12.
12.14.1 A tabela 13 apresenta a estimativa dos cálculos totais de propriedade para os próximos 5 anos,
conforme memória de cálculo explicada no item 12.13 Não foram identificadas métricas de variação para a contratação
que não esteja relacionada ao ICTI (índice de custo da tecnologia da informação) ou a valores de repactuação que
poderão ocorrer. O valor pago por hora para a contratação de serviço não envolve software ou log em sua formação e não
foi identificada relação adotada pelos fornecedores na variação de pessoas em uma equipe de SOC que pudesse compor a
variação dos valores abaixo.
R$ R$ R$
Solução
R$ 2.715.101,14 2.715.101,14 2.715.101,14 2.715.101,14 R$ 2.715.101,14 R$13.575.505,70
Viável 4
28 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 106
UASG 200005 Estudo Técnico Preliminar 27/2021
13.2 Após análise de uma contratação similar junto ao Conselho de Justiça Federal, chegou-se a conclusão que contratar em
itens separados um Purple Team não traria benefícios concretos a essa contratação e dessa forma, optou-se por inserir esses
serviços nos demais itens sendo seus detalhes explicitados no Termo de Referência. Devido a essa opção, optou-se também por
estender o serviço de Blue Team de suporte em segundo nível também de forma ininterrupta atuando em sincronia com o SOC.
13.2.1 A solução será composta por 3 (três) itens de serviço integrados, não se limitando aos descritos abaixo, os quais
serão detalhados no Termo de Referência:
13.2.1.2 Serviço de Tratamento e Resposta aos Incidentes Cibernéticos - CSIRT - Blue Team;
13.2.1.4 O Serviço de Security Operations Center - SOC e o Serviço de Tratamento e Resposta aos
Incidentes Cibernéticos - CSIRT - Blue Team atuarão em conjunto e envolve os seguintes serviços, conforme
Information Technology Infraestructure Library – ITIL e com as atividades dos processos do volume de
Transição de Serviços e Operação de Serviços;
29 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 107
UASG 200005 Estudo Técnico Preliminar 27/2021
13.2.1.4.11.4 Garantir que os serviços possam ser gerenciados, operados e suportados conforme
os requisitos definidos.
13.2.1.4.11.8 Prover mecanismos eficientes para tratamento das questões relativas ao dia-a-dia
dos serviços.
13.2.1.4.11.18 Prestação remota dos serviços, sendo a presença física somente quando
necessário ou mediante justificativa.
30 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 108
UASG 200005 Estudo Técnico Preliminar 27/2021
13.2.1.4.12 O Serviço de Tratamento e Resposta aos Incidentes Cibernéticos - CSIRT - Blue Team
deverá ser observadas as orientações e técnicas emanadas pelos padrões internacionais, além de outros
apresentados pela CONTRATADA, caso haja em seu portfólio normativos que comprovadamente
complementem os demonstrados abaixo:
31 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 109
UASG 200005 Estudo Técnico Preliminar 27/2021
13.2.1.4.14 Para fins de execução do contrato, a CONTRATADA deverá atender os requisitos técnicos
especificados deste ETP. Todos os processos poderão ser amadurecidos conforme evolução da operação
no ambiente de infraestrutura durante a execução do contrato.
13.2.1.5 O Serviço de Teste de Invasão - Red Team envolve os seguintes serviços, conforme
Information Technology Infraestructure Library – ITIL e com das atividades dos processos do volume de
Transição de Serviços e Operação de Serviços;
13.2.1.5.6.3 Garantir que os serviços possam ser gerenciados, operados e suportados conforme os
requisitos definidos.
13.2.1.5.6.4 Realizar as atividades e processos necessários para garantir o gerenciamento e a entrega dos
serviços conforme níveis de serviços aqui definidos.
13.2.1.5.6.6 Prover mecanismos eficientes para tratamento das questões relativas ao dia-a-dia dos
serviços.
32 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 110
UASG 200005 Estudo Técnico Preliminar 27/2021
o ciclo de vida dos chamados de RED TEAM. Ao final do contrato, as bases de dados das ferramentas utilizadas,
com todos os dados, inclusive históricos das demandas, solicitações, atendimentos e demais informações
relativas à prestação de serviços deverão ser entregues e permanecerão sob custódia exclusiva do Ministério;
13.2.1.5.8 O Serviço de Testes de Invasão será do tipo externo e interno e terá como objetivo principal
identificar, mapear, documentar, controlar e corrigir possíveis vulnerabilidades nos sistemas, processos e ativos
de infraestrutura tecnológica. Para a realização dos testes de invasão deverão ser observadas as orientações e
técnicas emanadas pelos padrões internacionais, além de outros apresentados pela CONTRATADA, caso haja
em seu portfólio normativos que comprovadamente complementem os demonstrados abaixo:
13.2.1.5.8.3 NIST Special Publication 800-115 (Technical Guide to Information Security Testing and
Assessment);
13.2.1.5.8.5 OWASP TESTING GUIDE 4.1 The Open Web Application Security Project.
13.2.1.5.9 Neste documento os termos “pentest”, teste de penetração, teste de intrusão e testes de invasão, são
considerados sinônimos;
13.2.1.5.10 Os alvos dos “Testes de Invasão” bem como as premissas e condições para realização destes serão,
necessariamente, definidos e aprovados através de demanda por parte do Ministério;
13.2.1.5.11 A Contratada deverá observar que os testes de invasão serão executados internamente (qualquer
ponto da rede corporativa do Ministério) e externamente (através da Internet);
13.2.1.5.12 Todas as fases dos “Testes de Invasão” serão acompanhadas e supervisionadas a critério do
Ministério;
13.2.1.5.13 Quaisquer atividades que possa comprometer ou prejudicar algum ambiente ou ativo deverá ser
imediatamente reportada, antes de sua execução, haja vista a necessidade de manter a disponibilidade dos
ambientes e serviços ativos;
13.2.1.5.14.1 Planejamento;
13.2.1.5.14.2 Descoberta;
13.2.1.5.14.3 Ataque;
13.2.1.5.15 Para fins de execução do contrato, a CONTRATADA deverá atender os requisitos técnicos
especificados deste ETP. Todos os processos poderão ser amadurecidos conforme evolução da operação no
ambiente de infraestrutura durante a execução do contrato.
13.3.1 Para um melhor entendimento das responsabilidades a serem executadas pelos serviços objeto da presente
contratação, foi definido uma Matriz de Responsabilidade R.A.C.I apresentado a seguir, a qual esta alinhada com a
Figura 13 - Diagrama de relacionamento dos serviços e seus respectivos componentes com os demais serviços da
DTIC e envolve todos os atores com participação no SOC e na Área de Segurança Cibernética;
33 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 111
UASG 200005 Estudo Técnico Preliminar 27/2021
13.4.1 A frequência de aferição dos indicadores de performance será mensal, porém com registros diários quando
aplicável, devendo a contratada elaborar Relatório Mensal de Atividades, apresentando-o ao Ministério até o quinto dia
útil do mês subsequente ao da prestação do serviço.
13.4.2 Devem constar desse relatório, entre outras informações, os indicadores de performance, metas de níveis de
serviço alcançados, recomendações técnicas, administrativas e gerenciais para o próximo período e demais informações
relevantes para a gestão contratual. O conteúdo detalhado e a forma do relatório gerencial serão definidos pelas partes.
13.4.3 Caberá à Equipe de Fiscalização do contrato analisar mensalmente o Relatório Mensal de Atividades executados
pela Contratada, observando os indicadores e os níveis de serviço alcançados.
13.4.4 Os indicadores de performance são flexíveis em quantidade e qualidade e estão descritos na tabela a seguir:
Conformidade
Porcentagem de sistemas com controles de segurança
percentual
testados
Ameaças
Atribuição de ameaças a atores (usando inteligência de
a definir
ameaças)
34 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 112
UASG 200005 Estudo Técnico Preliminar 27/2021
Alerta
Número de alertas que permanecem por analisar (em
número
aberto)
Técnico
35 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 113
UASG 200005 Estudo Técnico Preliminar 27/2021
Cobertura
Quantidade de ativos monitorados vs. Quantidade total de
número e percentual
ativos
13.5.1 Para o dimensionamento da força de trabalho da CONTRATADA, o fluxo de dados do Ministério a ser
considerado de forma escalável, sob demanda, será conforme segue;
Retenção
Estimativa adicionais a serem Quantidade Retenção
Hot e Retenção Frozen
Descrição dimensionados de acordo com a Estimada inicial Cold
Warm (Tipo 3)
demanda e utilização (GB/dia e EPS) (Tipo 2)
(Tipo 1)
Logs de ambiente em
5 GB/dia | 100
Nuvem (Azure e 1 mês 6 meses 12 meses
EPS
Oracle Cloud)
Logs de auditoria
55 GB/dia | 600
(Sistemas, serviços e 72 horas 6 meses 12 meses
EPS
servidores e endpoint)
36 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 114
UASG 200005 Estudo Técnico Preliminar 27/2021
100GB/dia |
Quantitativo máximo 500GB/dia | 12.000 EPS - - -
2.000 EPS
13.6.1 A tabela 17 apresenta os itens a serem contratados, para o período de dois anos (24 meses).
1
Serviço de Tratamento e Resposta aos Incidentes
2 24 Unidade (Mensal) Contínuo
Cibernéticos - CSIRT - Blue Team
2 3 Serviço de Teste de Invasão - Red Team 827 Unidade (Alvos) Sob demanda
Valor Total
máximo (24
Valor Mensal
Grupo Item Descrição do item Quantidade Unidade Valor Unitário meses)
máximo (R$)
(R$)
1
Serviço de Tratamento e
Resposta aos Incidentes Unidade
2 24 meses R$ 18.446,40 R$ 18.446,40 R$ 442.713,60
Cibernéticos - CSIRT - (Mensal)
Blue Team
37 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 115
UASG 200005 Estudo Técnico Preliminar 27/2021
14.2 Os valores de referência utilizados para compor a estimativa de custo são os mesmos presentes na tabela 10 - Custo
estimado para o MJSP, baseadas no preço final homologado do Pregão 01/2020 do Conselho de Justiça Federal (CJF) que possui
objeto similar a essa pretensa contratação.
14.3 A estimativa total da contratação para 24 meses é de R$ 5.430.202,28 (cinco milhões, quatrocentos e trinta mil duzentos e
dois reais e vinte e oito centavos) e de R$ 13.575.505,70 (treze milhões, quinhentos e setenta e cinco mil quinhentos e cinco
reais e setenta centavos) para cinco anos.
EXABEAM CLOUD
PLATFORM
SaaS (1) Azure Sentinel LogRhythm Cloud Splunk Cloud
(19)
Não (AWS e
Sim
GCP)
SaaS no Brasil (1) Sim
(20)
(14)
Splunk
Exabeam Security LogRhythm NextGen SIEM
SIEM (2) Azure Sentinel Enterprise
Management Platform Platform
Security
Exabeam Security
SOAR (2) Azure Sentinel LogRhythm’s SmartResponse™ Splunk Phantom
Management Platform
Sim Sim
Recursos de ML e AI Sim Sim (MLTK)
(23) (36)
38 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 116
UASG 200005 Estudo Técnico Preliminar 27/2021
(3)
Baseado em
Eventos de Segurança por
Ingestão de dados GB (Logs) infraestrutura
Ingestão de dados GB segundo
Tipo de licenciamento sem limites de
(Logs)
(35) dados ou por GB
(27)
/dia (8)
(44)
Sim (NetFlow ou
Network Logs - Suporte a
Sim Sim IPFIX, Sflow e
protocolos de flow (Netflow ou
Não (utiliza o logstash) JFlow)
sFlow) - visão norte/sul e leste
(31) (43)
/oeste
(11)
39 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 117
UASG 200005 Estudo Técnico Preliminar 27/2021
Não (Integração
com ferramentas
Não (Integração com Sim. (LogRhythm’s Endpoint
Sim - Windows Defender de terceiros (Ex.
Suporte a Detecção e resposta ferramentas de terceiros) Monitoring and Forensics)
ATP + MS Defender Cisco Security
de endpoint (EDR) Nativo
Security Center (13) Platforms)
(25) (42 e 43)
(12)
Obs.: Os campos que estão em branco ainda não foram possíveis identificar a informação pública no site do fabricante.
Fontes:
1 https://marketplace.fedramp.gov/#!/products
2 http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10222.htm
3 https://www.splunk.com/pdfs/legal/splunk-ISO-27001-certificate.pdf
4 https://techcommunity.microsoft.com/t5/azure-sentinel/what-s-new-cybersecurity-maturity-model-certification-cmmc/ba-p/2111184
5 https://docs.microsoft.com/en-us/azure/sentinel/connect-data-sources
6 https://azure.microsoft.com/en-us/pricing/details/monitor/
7 https://techcommunity.microsoft.com/t5/azure-sentinel/azure-sentinel-the-connectors-grand-cef-syslog-direct-agent/ba-p/803891
8 https://www.splunk.com/en_us/software/pricing.html
9 https://ossemproject.com/intro.html
10 https://docs.splunk.com/Documentation/CIM/4.18.0/User/UsetheCIMtonormalizedataatsearchtime
40 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 118
UASG 200005 Estudo Técnico Preliminar 27/2021
11 https://docs.splunk.com/Documentation/StreamApp/7.3.0/DeployStreamApp/UseStreamtoingestNetflowandIPFIXdata
12 https://conf.splunk.com/files/2019/slides/SECS2899.pdf
13 https://docs.microsoft.com/en-us/azure/sentinel/microsoft-365-defender-sentinel-integration
14 https://docs.splunk.com/Documentation/SplunkCloud/8.1.2101/Service/SplunkCloudservice
15 https://www.splunk.com/en_us/blog/tips-and-tricks/getting-microsoft-azure-data-into-splunk.html
16 https://splunkbase.splunk.com/
17 https://docs.splunk.com/Documentation/Splunk/8.1.2/Indexer/forwardersdirecttopeers
18 https://www.splunk.com/en_us/download/universal-forwarder.html
19 https://www.exabeam.com/wp-content/uploads/2020/02/EXA_Data-Sheet_Cloud-Platform.pdf
20 https://www.exabeam.com/newsroom/exabeam-expands-international-availability-of-cloud-based-siem-to-help-organizations-modernize-security-
operations/
21 https://www.exabeam.com/siem-guide/siem-architecture/
22 https://www.exabeam.com/siem-guide/siem-buyers-guide/
23 https://www.exabeam.com/information-security/machine-learning-for-cybersecurity/
24 https://www.exabeam.com/product/cloud-connectors/
25 https://www.exabeam.com/wp-content/uploads/2020/03/Data-Integrations-WP-Mar20.pdf
26 https://docs.exabeam.com/en/data-lake/i35/data-lake-user-guide/111941-exabeam-data-lake-reports.html#UUID-486e3195-13c5-8e7d-3569-2de7f762228e
27 https://www.exabeam.com/siem-guide/siem-architecture/#sizing
28 https://www.splunk.com/en_us/app-integrations.html
29 https://docs.exabeam.com/en/data-lake/i36/exabeam-data-lake-collector-guide/119236-exabeam-data-lake-agent-log-collectors.html
30 https://docs.exabeam.com/en/aws/all/amazon-web-services-setup-guide/UUID-d5c8b4f7-e188-c622-9722-16408f646425.html
31 https://docs.exabeam.com/en/content/all/how-content-works-guide/53754-event-types-and-required-fields.html
32 https://www.exabeam.com/siem/auto-parser-generator-now-available-for-customers/
33 https://docs.microsoft.com/en-us/learn/modules/incident-management-sentinel/
34 https://docs.microsoft.com/pt-br/azure/sentinel/import-threat-intelligence
35 https://logrhythm.com/wp-content/uploads/2020/03/logrhythm-cloud-data-sheet-1.pdf
36 https://logrhythm.com/products/logrhythm-user-xdr/
37 https://gallery.logrhythm.com/joint-solution-briefs/logbinder-for-exchange-joint-solution-brief.pdf
38 https://gallery.logrhythm.com/data-sheets/logrhythm-for-compliance-data-sheet.pdf
39 https://gallery.logrhythm.com/terms-and-conditions/logrhythm-cloud-security-overview-final-2019-05.pdf
40 https://gallery.logrhythm.com/terms-and-conditions/logrhythm-cloud-security-overview-final-2019-05.pdf
41 https://logrhythm.com/solutions/security/cloud-security/
42 https://gallery.logrhythm.com/data-sheets/endpoint-monitoring-and-forensics-data-sheet.pdf
41 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 119
UASG 200005 Estudo Técnico Preliminar 27/2021
43 https://gallery.logrhythm.com/data-sheets/na-data-sheet-sysmon.pdf
44 https://docs.logrhythm.com/docs/sysmon/system-monitor-installation-guide/networking-and-communication
45 https://gallery.logrhythm.com/data-sheets/data-processing-and-indexing-tiers-data-sheet.pdf
46 https://logrhythm.com/blog/logrhythm-threat-intelligence-services-stix-via-taxii/
47 https://www.splunk.com/en_us/resources/videos/splunk-threat-intelligence-demo.html
15.1.2 Observa-se conforme Tabela acima que a Plataforma da Microsoft - Azure Sentinel é um produto o qual possui
todos os requisitos e funcionalidades comuns para o segmento.
15.1.3 A contratação da solução como serviço, conforme descrito em detalhe no item 13 - Descrição da solução de TIC a
ser contratada, se mostra viável devido as características e especificidades do Ministério. Além disso, a contratação do
serviço de SOC não envolverá aquisição por parte do Ministério da Justiça e Segurança Pública de qualquer bem,
software ou sistema. Apenas o serviço prestado de SOC, Blue Team e Red Team serão contratados.
15.1.4 Conforme está demonstrado neste estudo técnico preliminar, a contratação como serviço, sem aquisição da
ferramenta de SIEM, utilizando a que está disponível no atual contrato junto a Microsoft, Azure Sentinel, se mostra mais
vantajosa devido a economia no envio dos logs para análise da ferramenta.
Logrhythm -
ELK - Empresa NCT
RSA - Empresa ISH Empresa APURA
Microsoft
(Pregão 01/2020 - CJF) (Pregão 01/2020 -
(Pregão 02/2020 - CJF)
CJF)
Item 5 - RSA
SOAR Netwitness Item 5 - LogRhythm Item 5 - ServiceNow
Orchestrator
Item 3 - TENABLE
Endpoint
NESSUS, ACUNETIX Item 3 - Tenable Item 3 - Qualys
Análise
e RSA Archer VM
42 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 120
UASG 200005 Estudo Técnico Preliminar 27/2021
Referência Reservado* Ata do Pregão (6) Ata do Pregão (6) Ata do Pregão (6)
Total Total
Item Unitário Total (Mensal) Unitário Unitário Unitário Total (Mensal)
(Mensal) (Mensal)
R$
R$ 580,03
R$ R$
1 979,78 R$ 29.393,40 por GB R$ 58.037,46 R$ 950,71 R$ 95.071,33
507,05 50.705,07
por dia ingerido
100 GB/dia de (2)
logs
R$ R$ 4,24
Logs R$
2 1920,37 R$ 57.611,10 por ativo R$ 16.960,00 R$ 3,71 R$ 6,96 R$ 27.847,56
14.851,84
por dia (3)
R$
Processamento R$ 0,00
R$ 0,00 incluído 13.261,75 R$
de 1 Gbps de N/A incluído R$ 13.261,75 R$ 4.681,28 R$ 8.777,42 R$ 8.777,42
(1) para 4.681,28
volume de rede (1)
1Gbps (4)
R$ 11,36
R$ 0,00
R$ 0,00 incluído por R$
Endpoits 4000 N/A incluído R$ 45.440,00 R$ 4,73 R$ 10,33 R$ 41.333,33
(1) endpoint 18.920,00
(1)
(5)
R$ R$
Total Mês R$ 87.004,50 R$ 173.029,65
133.699,21 89.158,19
R$ R$
Total Ano R$ 1.044.054,00 R$ 2.076.355,76
1.604.390,52 1.069.898,24
43 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 121
UASG 200005 Estudo Técnico Preliminar 27/2021
Obs.: Foram considerando apenas os itens de software do Pregão do CJF e os valores constante na Ata do Pregão 01/2020 (http://comprasnet.gov.br/livre
/pregao/ata2.asp?co_no_uasg=90026&numprp=000012020&f_lstSrp=T&f_Uf=DF&f_numPrp=12020&f_coduasg=&f_tpPregao=
E&f_lstICMS=T&f_dtAberturaIni=&f_dtAberturaFim=)
https://azure.microsoft.com/pt-pt/pricing/details/azure-sentinel/
https://azure.microsoft.com/pt-pt/pricing/details/monitor/
1 - Azure Activity Logs, Office 365 Audit Logs (all SharePoint activity and Exchange admin activity) and alerts from Microsoft Defender products (Azure
Defender, Microsoft 365 Defender, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Endpoint), Azure Security
Center, Microsoft Cloud App Security, and Azure Information Protection can be ingested at no additional cost into both Azure Sentinel, and Azure Monitor
Log Analytics. não faz parte do os logs do Azure Active Directory conforme link https://azure.microsoft.com/pt-pt/pricing/details/azure-sentinel/ na aba de
FAQ.
3 - Item 4.2 do edital do CJF ao custo mensal de 4.249.97 para 1000 ativos.
4 - Item 4.3 do edital do CJF ao custo mental de 13.261,75 para processar no mínimo 1 Gbps.
6 - Para chegar ao valor dos itens 4.1, 4.2 e 4.3 foram identificados na proposta original da empresa o percentual correspondente ao item 4 e assim utilizado.
16.2 Na realização da pesquisa e sua comparação identificou-se que o produto da Microsoft Azure Sentinel frente aos demais
produtos (RSA, Logrhythm e ELK) não cobra pelo processamento de tráfego de rede e monitoramento de dispositivos endpoint,
cujo os produtos são Microsoft, diferente dos demais, o que apresenta ser uma estratégia de mercado adotado pelos fabricantes na
comercialização de seus produtos, pois o somatório de todos os produtos/serviços se mostra mais vantajoso quando do produto da
Microsoft Azure Sentinel é comparado.
16.3 Diante dos preços mensais e totais constantes na tabela acima é possível identificar que a média mensal de preço das
soluções pesquisada foi de R$ 111.428,70 e o melhor valor foi da Plataforma da Microsoft Azure Sentinel, o que demonstra que a
permanência da Plataforma de SIEM/SOAR/NTA/UEBA/CTI do Ministério, Microsoft Azure Sentinel, representa o melhor
custo beneficio para a administração bem como, a melhor estratégia da presente contratação.
17.1.1 Redução de riscos associados a perda de dados, comprometimento dos sistemas, imagem institucional do ministério e do
governo brasileiro.
17.1.2 Maior assertividade nos investimentos em soluções de segurança da informação efetivamente necessárias.
17.1.5 Economia de tempo e redução da complexidade, identificando e saneando a segurança da informação antes da implantação
dos sistemas.
17.1.7 Desenvolvimento de relatórios e apurações especiais; e painéis gerenciais para apoio à tomada de decisão dos gestores,
quanto ao risco da instituição.
17.1.8 Garantir a segurança da informação e comunicação no âmbito do Ministério da Justiça e o sigilo das informações dos
cidadãos.
44 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 122
UASG 200005 Estudo Técnico Preliminar 27/2021
17.1.9 Implantar e fortalecer as equipes de tratamento de incidentes cibernéticos nas redes de computadores.
17.1.10 Implantar ações que promovam o envolvimento da alta administração do órgão em relação às diretrizes e ações de
Segurança da Informação e Comunicação.
17.1.11 Definir e implantar mecanismos mais efetivos de responsabilização de colaboradores por eventos relacionados à
Segurança da Informação e Comunicação.
17.1.12 Contribuir para o aumento da capacidade de resiliência dos ativos de informação e das infraestruturas críticas.
17.1.15 Manter uma equipe ininterrupta de resposta rápida e efetiva a ataques e incidentes cibernético .
17.1.18 Elevar o conhecimento técnico e a capacidade de gestão do corpo técnico próprio do Ministério da Justiça.
17.1.19 Obter uma melhor compreensão da real situação em termos de segurança da informação do Ministério da Justiça de
forma periódica por meio de um Red Team.
18.1.1 Não é necessário adequar o ambiente da infraestrutura física das instalações do Ministério para viabilizar a
entrega ou a execução contratual.
18.1.2 Não é necessário adequar o ambiente da infraestrutura elétrica para viabilizar a entrega ou a execução contratual.
18.2.1 Será necessário disponibilizar mobiliário e computadores nas dependências do MJSP para prestação de serviços,
quando a CONTRATA informar necessidade.
19.1 De acordo com este estudo técnico preliminar da contratação, conclui-se que esta contratação está alinhada com as
necessidades estratégicas elencadas no Plano Diretor de Tecnologia da Informação e Comunicação do Ministério da Justiça e
Segurança Pública (2021-2023) (14424141), sendo descritas e tratadas como macro requisitos e necessidades de negócio como
serviço para tal finalidade.
19.2 Foram avaliadas as soluções disponíveis no mercado quanto à viabilidade técnica e econômica para o atendimento das
necessidades deste órgão.
19.3 Após análise das soluções, suas vantagens, desvantagens, avaliação das necessidades de adequação e demais itens cabíveis,
os Integrantes Técnico e Requisitante declaram que a contratação da solução é viável.
45 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 123
UASG 200005 Estudo Técnico Preliminar 27/2021
20. Responsáveis
46 de 46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 124
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Lista de Anexos
Atenção: Apenas arquivos nos formatos ".pdf", ".txt", ".jpg", ".jpeg", ".gif" e ".png" enumerados abaixo são anexados
diretamente a este documento.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 125
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 126
Cintia Mye Yonekawa Yamaguti
De: sati@mj.gov.br
Enviado em: quarta-feira, 9 de junho de 2021 17:05
Para: Cintia Mye Yonekawa Yamaguti
Assunto: Solicitação atendida SATI - 34691
Prezado(a),
A Central de Serviços do Ministério da Justiça e Segurança Pública (MJSP) concluiu o atendimento da sua
solicitação.
Nº do chamado: 34691
Serviço/Atividade: Levantar informações de objetos
Solução aplicada:
Atualmente a quantidade de maquinas ativas no parque MJ sao: 3125. Contando com desktops e notebooks. Esse
levantamento foi tirado do AD.
Desejamos saber a sua opinião sobre os serviços prestados. Por gentileza, colabore conosco avaliando o nosso
atendimento.
Acesse o Portal de Serviços SATI para solicitar atendimento e realizar o acompanhamento da sua solicitação.
________________________________________
1
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 127
Esta é uma mensagem automática. Por favor, não responda.
________________________________________
Atenciosamente,
SATI (Serviço de Atendimento a Tecnologia da Informação)
Tel: 2025-2200
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 128
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 129
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 130
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 131
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
UASG 090026
PROCESSO CJF – SEI 0001989-89.2019.4.90.8000
1 – A abertura da presente licitação dar-se-á em sessão pública, dirigida pelo pregoeiro, a ser
realizada conforme indicado abaixo, de acordo com a legislação mencionada no preâmbulo deste
edital.
2 – No dia 5.2.2020, às 10:00 horas, será feita a abertura da sessão pública, exclusivamente por
meio do sítio http://www.comprasgovernamentais.gov.br/
1
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 132
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
3 – Todas as referências de tempo neste edital, no aviso de licitação e durante a sessão pública
observarão obrigatoriamente o horário de Brasília – DF e, dessa forma, serão registradas no
sistema eletrônico e na documentação relativa ao certame.
II – DO OBJETO
1 – Qualquer pessoa poderá impugnar o presente edital, encaminhando o pedido até 3 (três) dias
úteis antes da data fixada para abertura da sessão pública, por meio do correio eletrônico sei-
selita@cjf,jus.br, cabendo ao pregoeiro, com auxílio do setor responsável pela elaboração do termo
de referência (se for o caso), decidir a matéria no prazo de 02 (dois) dias, contados da data de
recebimento da impugnação, nos termos dos §1º, do art. 24, do Decreto n. 10.024/2019.
2 – As impugnações deverão ser dirigidas ao pregoeiro por quem tenha poderes para representar
a licitante ou por qualquer cidadão que pretenda impugnar o ato convocatório nesta qualidade.
3 – Acolhida a impugnação contra o ato convocatório que implique em sua modificação, será
divulgada nova data para realização do certame, da mesma forma que se deu a divulgação do
texto original, reabrindo-se o prazo inicialmente estabelecido, exceto quando,
inquestionavelmente, a alteração não afetar a formulação das propostas.
4.1 - O pregoeiro responderá aos pedidos de esclarecimentos no prazo de 2 (dois) dias úteis,
contado da data de recebimento do pedido, e poderá requisitar subsídios formais aos
responsáveis pela elaboração do edital e dos módulos anexos, nos termos do §1º, do art.
23, do Decreto n. 10.024/2019.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 133
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
IV – DO CREDENCIAMENTO
1.1 – Atenderem a todas as exigências, inclusive quanto à documentação, constantes deste edital;
1.2 – Estejam previamente credenciadas perante o sistema eletrônico provido pelo Ministério da
Economia, por meio do sítio http://www.comprasgovernamentais.gov.br.
1.5 – Quando da participação das microempresas e empresas de pequeno porte – ME/EPP serão
adotados os critérios estabelecidos nos artigos 42 a 45 da Lei Complementar n. 123/2006 e no
Decreto n. 8.538/2015.
1.5.1 – Para o enquadramento das ME/EPP, o fornecedor, no ato de envio de sua proposta
e da documentação de habilitação, em campo próprio do sistema, deverá declarar que
atende os requisitos do art. 3º da Lei Complementar n. 123/2006 para fazer jus aos
benefícios da referida Lei;
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 134
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.1 - Não poderá participar do certame a empresa que preste os serviços técnicos
especializados de SUSTENTAÇÃO DA INFRAESTRUTURA DE TI ou serviços
técnicos especializados de desenvolvimento e sustentação de software, em regime
de FÁBRICA DE SOFTWARE para o CJF, esta restrição objetiva atender ao princípio
da segregação de funções previsto na Norma NBR ISSO/IEC 27002:2005 e manutenção da
qualidade dos serviços de Segurança da Informação, conforme exposto na
justificativa do Módulo I - Termo de Referência.
2.2 – Empresas que estiverem sob a aplicação da penalidade referente ao art. 87, incisos III e IV
da Lei n. 8.666/93, do art. 7º da Lei n. 10.520/2002 ou do art. 49 do Decreto n. 10.024/2019;
2.2.1 – A suspensão prevista no art. 87, inciso III, aplica-se apenas no âmbito do CJF;
2.2.2 –Para fins de participação nesta licitação, a penalidade imposta com base no art.7º da
Lei n. 10.520/2002 abrange os órgãos e entidades da Administração Pública direta e indireta
da União, nos termos do inciso I, §3º, do art. 24, da IN 3/2018/MPOG.
2.4 – Empresas que estejam reunidas em consórcio, qualquer que seja sua forma de constituição,
sejam controladoras, coligadas ou subsidiárias entre si;
2.6.1. A empresa em recuperação judicial poderá participar do certame desde que apresente
plano de recuperação aprovado e homologado judicialmente, com a recuperação já deferida.
2.6.2. A empresa em recuperação judicial que comprovar o disposto no Item 3.6.1 deverá
demonstrar os demais requisitos de habilitação.
2.8 – Empresas que possuem em seu quadro societário pessoa detentora de mandato de
deputado e/ou senador, desde sua diplomação, nos termos da alínea “a”, do inciso I, do artigo 54
da Constituição Federal;
4
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 135
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.11 – Empresas cujo objeto social, expresso no estatuto ou contrato social, seja incompatível com
o objeto da presente licitação.
4 - A proposta de preços deverá ser redigida em língua portuguesa, sem alternativas, opções,
emendas, ressalvas, borrões, rasuras ou entrelinhas, e dela deverá constar declaração da licitante
de ciência de que o CJF realizará o contingenciamento das obrigações trabalhistas, conforme
previsto na Resolução CNJ n. 169/2013 e alterações, bem como na IN CJF nº 01/2016, nos termos
estabelecidos na cláusula da minuta do contrato;
4.1 – Para o preenchimento exclusivo do anexo II, do Módulo I deste Edital (planilha de preços) a
empresa deverá observar:
4.1.2 - Qualquer valor diferente do estudo realizado na Nota Técnica – para MAIOR ou para
MENOR, deverá ser devidamente justificado pela licitante, podendo ser realizada diligência
para comprovar as informações prestadas.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 136
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
4.1.4 - No que concerne à taxa administrativa (custos indiretos), a mesma deve contemplar,
no mínimo, as despesas elencadas no item 3.9 da Nota Técnica CJF/SCI n. 01/2013.
4.2- A proposta de preço deverá conter, ainda, memória de cálculo detalhada que contenha a
metodologia e fórmulas adotadas pela licitante para obtenção dos valores propostos para os
encargos e demais componentes da planilha de composição de custos e formação de preços dos
serviços envolvidos na contratação, caso a licitante apresente encargos distintos dos constantes
no Anexo II do Módulo I;
4.4 - No que concerne às justificativas quanto à exequibilidade dos itens constantes da planilha de
custos, não serão aceitas justificativas genéricas, que indiquem que o valor será suportado pelos
demais contratos firmados pela empresa, sem a devida comprovação de despesa, haja vista que
o contrato firmado com este Conselho deve ser autossuficiente.
4.5 - Não serão aceitos percentuais zerados ou irrisórios nas rubricas referentes à taxa
administrativa ou lucro. Entendendo-se como irrisório qualquer valor inferior a 1% nas respectivas
rubricas.
4.6 - Somente será pago 0,20% de INCRA mediante comprovação de recolhimento.
4.7 - Tendo em vista que o prazo de vigência da Lei Complementar nº 110/2001 expirou em
dezembro de 2006, o adicional do FGTS de 0,5% não poderá ser incluído no total de encargos
sociais.
4.8 – Não poderá constar da planilha de formação do custo percentual de reserva técnica de
acordo com orientação TCU.
4.9 - No que concerne ao lucro, para o anexo II – Módulo I, as empresas deverão emitir declaração
da opção de LUCRO REAL, PRESUMIDO ou SIMPLES.
4.10 - Os percentuais dos impostos consignados em sua proposta deverão ser comprovados com
a apresentação do recibo de entrega da declaração de informações econômico-fiscais da pessoa
jurídica, conforme tabela:
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 137
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
4.11 - A empresa optante pelo SIMPLES NACIONAL que venha a ser contratada deverá
apresentar cópia de ofício comunicando à Receita Federal a assinatura do contrato, abrindo mão
da opção pelo referido regime tributário, ficando ciente de que não mais se beneficiará deste
regime de tributação a partir do mês seguinte à contratação, conforme Acórdão 2798/2010, do
Plenário do Tribunal de Contas da União.
4.11.1 – No prazo de até 90 (noventa) dias a empresa deverá apresentar documentação que
comprove a desvinculação do regime do Simples.
4.12 - As licitantes somente poderão orientar os seus custos de acordo com a tributação pelo
SIMPLES NACIONAL, justificadamente, comprovando não exercerem atividades impeditivas,
inclusive as atividades objeto desta licitação, e atenderem aos requisitos de receita bruta, nos
termos da Lei Complementar n. 123/2006;
4.13 - Caso a licitante seja beneficiária do regime substitutivo da Contribuição Previdenciária sobre
a folha de pagamento, deverá apresentar declaração, conforme modelo do Anexo III da Instrução
Normativa RFB n. 1.436/2013, bem como comprovante de recolhimento da DARF do mês de
fevereiro do ano corrente, que comprove a opção do pagamento via CPRB. Não obstante, deverá
incluir, dentre o módulo de tributação, percentual relativo à CONTRIBUIÇÃO PREVIDENCIÁRIA
Sobre a Receita Bruta – a CPRB.
6 – Serão irrelevantes quaisquer ofertas que não se enquadrem nas especificações exigidas.
7 – Serão irrelevantes quaisquer ofertas que não se enquadrem nas especificações exigidas no
Módulo I – Termo de Referência.
9 – Os preços deverão ser finais, acrescidos de todas as despesas e conter somente duas casas
decimais, não sendo admitidos valores simbólicos, irrisórios ou de valor zero, incompatíveis com
os preços dos insumos e salários de mercado, acrescidos dos respectivos encargos, conforme
definido no §3º do art. 44 da Lei n. 8.666/93.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 138
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
1 – O pregoeiro, por meio do sistema eletrônico, dará início à sessão pública, na data e horário
previstos na Cláusula I deste edital, com a divulgação das propostas de preços recebidas no prazo
estipulado, as quais deverão guardar perfeita consonância com as especificações e condições
detalhadas no edital.
2 – O pregoeiro procederá à análise das propostas quanto ao atendimento aos requisitos deste
edital, efetuando a classificação ou desclassificação da proposta, após que dará início à fase
competitiva, das propostas classificadas.
3 – As licitantes poderão oferecer lances sucessivos, observados o horário fixado para abertura
da sessão e as regras estabelecidas neste edital.
3.1 - O licitante somente poderá oferecer valor inferior ao último lance por ele ofertado e
registrado pelo sistema, observado o intervalo mínimo de 1 % entre os lances, que incidirá
tanto em relação aos lances intermediários quanto em relação ao lance que cobrir a melhor
oferta. (parágrafo único, do artigo 31 c/c com o §3º, do artigo 30, ambos do Decreto n.
10.024/2019).
3.2 - Não serão aceitos dois ou mais lances iguais e prevalecerá aquele que for recebido e
registrado primeiro.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 139
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
6 – A etapa de lances da sessão pública será aberta e perdurará por 10 (dez) minutos. Quando
houver lance ofertado nos últimos dois minutos do período de duração da sessão, o sistema
prorrogará a fase automaticamente, nos termos do caput, do artigo 32, do Decreto n. 10.024/2019.
6.1 - A prorrogação automática da etapa de envio de lances, de que trata o item anterior,
será de dois minutos e ocorrerá sucessivamente sempre que houver lances enviados nesse
período de prorrogação, inclusive quando se tratar de lances intermediários, nos termos do
§1º, do artigo 32, do Decreto n. 10.024/2019.
6.2 - Na hipótese de não haver novos lances na forma estabelecida nos itens 6 e 6.1, a
sessão pública será encerrada automaticamente.
7 - Encerrada a sessão pública sem prorrogação automática pelo sistema, nos termos do disposto
no 6.1, o pregoeiro poderá, assessorado pela equipe de apoio, admitir o reinício da etapa de envio
de lances, em prol da consecução do melhor preço, mediante justificativa. (Decreto n.
10.024/2019, art. 32, §3º).
8 – Do desempate:
8.1 Quando houver participação nesta licitação de microempresas ou empresas de pequeno porte,
considerar-se-á empate quando a proposta dessas empresas for igual ou até 5% (cinco por
cento) superior à proposta classificada em primeiro lugar. Neste caso, e desde que a proposta
classificada em primeiro lugar não tenha sido apresentada por microempresa ou empresa de
pequeno porte, o sistema eletrônico procederá da seguinte forma:
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 140
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
9 - Não havendo êxito, ou não existindo ME/EPP participante e havendo igualdade de condições,
será utilizado como critério de desempate, a preferência critério estabelecida no §2º, do art. 3º da
Lei n. 8.666, de 1993.
11 – Não poderá haver desistência dos lances efetuados, sujeitando-se a empresa licitante
desistente às penalidades previstas neste edital.
13 – Quando a desconexão do pregoeiro persistir por tempo superior a 10 (dez) minutos, a sessão
do pregão, na forma eletrônica, será suspensa e reiniciada somente decorridas 24 (vinte e quatro)
horas após a comunicação do fato aos participantes no sítio
http://www.comprasgovernamentais.gov.br.
4 - Encerrada a etapa de negociação de que trata o item anterior, o pregoeiro examinará a proposta
classificada em primeiro lugar quanto à adequação ao objeto e à compatibilidade do preço,
observado o disposto no parágrafo único do art. 7º e no § 9º do art. 26 do Decreto n. 10.204/2019,
e verificará a habilitação do licitante conforme disposições do edital.
6 – O critério de julgamento das propostas será o de MENOR PREÇO GLOBAL, desde que
satisfeitos todos os termos estabelecidos neste ato convocatório.
7 – No julgamento das propostas, o pregoeiro poderá sanar erros ou falhas que não alterem a
substância das propostas e sua validade jurídica, mediante despacho fundamentado, registrando
em ata e acessível a todos, atribuindo-lhes validade e eficácia para fins de classificação.
10
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 141
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
somente poderá ser reiniciada mediante aviso prévio no sistema com, no mínimo, 24 (vinte
e quatro) horas de antecedência, cuja ocorrência será registrada em ata.
X – DA HABILITAÇÃO
Habilitação jurídica
a) cédula de identidade;
b) registro comercial, no caso de empresário individual;
c) ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se tratando
de sociedades comerciais, e, no caso de sociedades por ações, acompanhado de documentos de
eleição de seus administradores e alterações ou da consolidação respectiva;
d) inscrição do ato constitutivo, no caso de sociedade civil, acompanhado da prova de diretoria em
exercício;
e) decreto de autorização, em se tratando de empresa ou sociedade estrangeira em
funcionamento no país, e ato de registro ou autorização para funcionamento expedido pelo órgão
competente, quando a atividade assim o exigir;
Qualificação Técnica
l) É obrigatório às licitantes, apresentar atestado(s) ou certidão(ões) de capacidade técnico-
operacional comprobatórios de que a empresa proponente tenha executado ou esteja executando,
serviços de características técnicas semelhantes às do objeto do presente Edital;
m) Os Atestado(s) de Capacidade Técnica-Operacional deverá(ão) ser emitido(s) por entidade
da Administração Federal, Estadual ou Municipal, direta ou indireta e/ou empresa privada que
comprove ter a empresa licitante executado serviços de características técnicas semelhantes ao
objeto desta contratação nos termos da Lei, comprovando:
11
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 142
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Qualificação Econômico-financeira
r) Certidão Negativa de Falência e Recuperações Judiciais, expedida pelo Distribuidor da sede da
pessoa jurídica;
r.1) a certidão negativa de recuperação judicial é exigível por força do art. 31, II, da Lei 8.666,
de 1993, porém a certidão positiva não implica a imediata inabilitação, cabendo ao CJF
realizar diligências para avaliar a real situação de capacidade econômico-financeira,
mediante a apresentação do plano de recuperação aprovado e homologado judicialmente,
12
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 143
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
com a recuperação já deferida, nos termos do Item 3.6.1, da cláusula V – DAS CONDIÇÕES
DE PARTICIPAÇÃO E DA CONCESSÃO DOS BENEFÍCIOS À ME/EPP.
a) LG – Liquidez Geral;
ã á
= ã
b) LC – Liquidez Corrente;
=
c) SG – Solvência Geral;
ê = ã
2. Documentação Complementar:
a) Certidão Negativa de improbidade Administrativa e Inelegibilidade, do Cadastro Nacional de
Condenações Cíveis por Ato de Improbidade Administrativa, disponível no Portal do Conselho
Nacional de Justiça (CNJ) (www.cnj.jus.br), por meio do link Sistemas e Serviços>outros>consulta
requerido/Condenação:Retorna os requeridos cadastrados nos sistemas, podendo-se detalhar as
suas respectivas condenações;
b) como condição para habilitação será verificada a existência de registros impeditivos de
contratação, no Cadastro Nacional de Empresas Inidôneas e Suspensas/CGU, disponível no
Portal da Transparência (http://portaltransparencia.gov.br), em atendimento ao disposto no
Acórdão n. 1793/2011, do Plenário do Tribunal de Contas da União;
c) As documentações indicadas nas letras "a" e "b" poderão ser substituídas pela
Certidão/Consulta Consolidada de Pessoa Jurídica, do Tribunal de Contas da União (TCU),
disponível através do link: https://certidoes-apf.apps.tcu.gov.br/.
3. Declarações exigidas:
a) Declaração de cumprimento do disposto no artigo 7º, XXXIII, da Constituição Federal/88, e
artigo 27, inciso V, da Lei n. 8.666/93;
b) Declaração de inexistência de fato superveniente impeditivo de habilitação, na forma do artigo
32, §2º, da Lei n. 8.666/93.
13
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 144
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
4. A documentação elencada no Item 3 desta Cláusula deverá ser formalizada em campo próprio
no sistema.
6 – Os documentos exigidos para habilitação que não estejam contemplados no Sicaf serão
enviados nos no prazo de apresentação das propostas.
9 – Para as ME/EPP a comprovação da regularidade fiscal somente será exigida para efeito de
formalização do ajuste.
9.1 – As ME/EPP deverão apresentar toda a documentação arrolada nesta cláusula, ainda
que apresentem alguma restrição.
9.2.1 – O prazo que trata o subitem 9.2 poderá ser prorrogado, por igual prazo, a critério da
administração, nos termos do decreto 8.538/2015 de 6 de outubro de 2015.
9.3 – A não-regularização da documentação, no prazo previsto nos subitens 9.2 e 9.2.1 desta
cláusula, implicará decadência do direito à contratação, sem prejuízo da sanção prevista
neste edital e em lei, sendo facultado à Administração convocar as licitantes remanescentes,
na ordem de classificação, para a formalização da avença, ou revogar a licitação.
10 – Sempre que julgar necessário, o pregoeiro poderá solicitar a apresentação de originais dos
documentos exigidos da licitante.
14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 145
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
12 – No julgamento da habilitação, o pregoeiro poderá sanar erros ou falhas que não alterem a
substância dos documentos e sua validade jurídica, mediante despacho fundamentado, registrado
em ata e acessível a todos, atribuindo-lhes validade e eficácia para fins de habilitação.
12.3 – No caso dos documentos que estejam disponíveis e que possam ser consultados
pelo pregoeiro diretamente nos sistemas informatizados, os mesmos poderão ser
consultados para comprovar a regularidade do licitante.
1 – A licitante vencedora deverá enviar a proposta definitiva de preço, elaborada nos moldes do
módulo II do edital, por meio do link “Enviar anexo/planilha atualizada”, no prazo máximo de 2
(duas) horas, a contar da solicitação do pregoeiro no sistema eletrônico, sob pena de ser
considerada desistente, sujeitando-se às sanções previstas na cláusula XIV (Das Penalidades)
deste edital.
3 – A proposta de preços deverá ser redigida em língua portuguesa, impressa, sem alternativas,
opções, emendas, ressalvas, borrões, rasuras ou entrelinhas, e dela deverão constar:
3.1 – Razão social da empresa, CNPJ, endereço completo, telefone, correio eletrônico para
contato e convocação para assinatura do contrato, banco, agência, praça de pagamento e
conta corrente, assinatura e nome legível do representante legal da empresa responsável
pela proposta.
15
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 146
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
3.2 – O endereço e CNPJ informados deverão ser do estabelecimento que de fato emitirá a
nota fiscal/fatura.
3.4 – Preço mensal e anual (com tributos, insumos e demais encargos da contratação), com
exibição do valor em algarismos e por extenso, com duas casas decimais, conforme o lance
final.
4 – A recorrente que tiver sua intenção de recurso aceita deverá registrar as razões do recurso,
em campo próprio do sistema, no prazo de 3 (três) dias, ficando as demais licitantes, desde logo,
intimadas a apresentar contrarrazões em igual prazo, via sistema, que começará a correr do
término do prazo da recorrente, sendo-lhes assegurada vista imediata dos elementos
indispensáveis à defesa dos seus interesses.
XIV – DO PAGAMENTO
1 – O pagamento será efetuado por ordem bancária, até o 10º dia útil, após o atesto firmado pela
fiscalização da nota fiscal/fatura, cujo documento deverá estar em conformidade com as condições
estabelecidas.
16
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 147
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
1.1 - As notas fiscais deverão ser emitidas eletronicamente e encaminhadas ao gestor pelo e-mail:
sutec@cjf.jus.br; ou outro à critério da administração ou enviadas pelo sistema eletrônico
(sei.cjf.jus.br) e encaminhadas para SUTEC.
XV – DAS PENALIDADES
a) advertência;
b) multa compensatória:
b.1) 5%, calculada sobre o valor adjudicado, em caso de não regularização da
documentação exigida para ME/ EPP, nos prazos previstos na Cláusula X;
b.2) 10%, calculada sobre o valor homologado, em caso de não assinatura da ata e/ou
contrato;
c) declaração de inidoneidade, nos termos do art. 87, inciso IV, da Lei n. 8.666/1993;
1.1. As multas previstas nas alíneas b.1 e b.2 poderão cumular-se com as penalidades
previstas nas alíneas a e c do Item acima.
1.2. O CJF, para aplicação da penalidade prevista no Item 1, adotará os critérios previstos
nos art. 86 e 87 da Lei n. 8.666/1993.
2. Nos termos do art. 7º da Lei n. 10.520/2002, ficará impedido de licitar e contratar com a União
e será descredenciado do SICAF, pelo prazo de até 5 (cinco) anos, sem prejuízo das multas
previstas neste edital e das demais penalidades legais, aquele que:
a) não assinar a ata ou contrato nos prazos de 5 (cinco) dias, contados da efetiva
convocação:
Pena - impedimento do direito de licitar e contratar com a União e descredenciamento do
Sistema de Cadastramento Unificado de Fornecedores - SICAF pelo período de 4 (quatro)
meses;
17
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 148
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.1. O CJF, para aplicação da penalidade prevista no Item 2, adotará os critérios previstos
na Instrução Normativa n. 1, de 13/10/2017, da Presidência da República, publicada no
DOU, em 16/10/2017 (n. 198, Seção 1, pág. 5).
4. A aplicação das sanções previstas nesta cláusula será realizada mediante processo
administrativo específico, mediante comunicação à licitante da penalidade, sendo assegurado, em
todos os casos, o contraditório e a ampla defesa, no prazo de 5 (cinco) dias, contados do
recebimento da comunicação.
1 – O sistema de registro de preços regula-se pelas normas e procedimentos previstos no Decreto n. 7.892,
de 23 de janeiro de 2013.
1.1 – A Sistema de Registro de Preços para a presente licitação se enquadra nas hipóteses previstas nos
incisos II e III do artigo 3º do Decreto em referência.
2 – No âmbito do Sistema de Registro de Preços, a adjudicação significa tão somente o registro do preço
ofertado.
3 – A existência do registro não obriga a Administração a efetivar as contratações por esse meio, ficando-
lhe facultada a aquisição por outras modalidades, respeitada a legislação relativa às licitações, sendo
assegurado à detentora da ata o direito de preferência em igualdade de condições.
4 – Na presente licitação NÃO serão permitidas adesões à ata (caronas), previstas no artigo 22 do Decreto
n. 7.892 (de 23 janeiro 2013). (Acórdão TCU n. 1.297/2015 – Plenário, TC 003.377/2015-6, relator Ministro
Bruno Dantas, 27.5.2015)
18
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 149
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2 – Quando a empresa vencedora e as demais interessadas, ao serem convocadas, não assinarem a ata no
prazo e condições estabelecidas, será facultado ao CJF, sem prejuízo de se aplicar as sanções previstas
neste edital e em lei, convocar as licitantes seguintes, na ordem de classificação, para formalização do
ajuste.
4 – Por ocasião da assinatura da ata o CJF realizará consulta com vistas a comprovar a manutenção das
condições de habilitação e qualificação exigidas na licitação, nos termos do art. 55, inciso XIII, da Lei n.
8.666/93.
5 – O representante da licitante vencedora deverá apresentar, ao CJF, os documentos pessoais (RG e CPF),
e se for o caso, procuração particular, com firma reconhecida, ou pública, com poderes para assinar a ata,
caso não tenham sido apresentados na fase de habilitação.
5.1 – Caso haja alguma alteração na documentação exigida no procedimento de habilitação, esta deverá ser
apresentada na formalização dos ajustes.
5.2 – Os documentos deverão ser apresentados na forma de cópia autenticada por cartório competente ou,
na forma original acompanhados de cópia, a qual será autenticada por servidor deste CJF.
6 – Farão parte integrante da ata todos os elementos apresentados pela empresa que tenham servido de
base para o julgamento, bem como as condições estabelecidas neste edital.
7 – Formalizada a ata, durante sua vigência, a empresa estará obrigada ao seu cumprimento.
9 – Nos termos do §1º do art. 12 do Decreto 7.892/2013, é vedado efetuar acréscimos nos quantitativos
fixados nesta ata.
10 – Durante a vigência da ata a empresa fica obrigada a fornecer os itens de acordo com o preço registrado,
nas quantidades indicadas em cada nota de empenho, respeitando-se as características do objeto
constantes do termo de referência.
19
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 150
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
XVIII – DA CONTRATAÇÃO
1.1. O prazo de convocação poderá ser prorrogado uma vez, por igual período, quando
solicitado pela parte durante o seu transcurso e desde que ocorra motivo justificado aceito
pela Administração.
4. Por ocasião da assinatura do contrato, verificar-se-á por meio do SICAF e de outros meios se
a adjudicatária mantém as condições de habilitação.
6 – Farão parte integrante do Contrato todos os elementos apresentados pela empresa que
tenham servido de base para o julgamento, bem como as condições estabelecidas neste edital.
7 – Formalizado o Contrato, a empresa estará obrigada ao seu cumprimento, durante sua vigência.
8 – O contrato terá vigência de 24 (vinte e quatro) meses, contados a partir da assinatura, podendo
ser prorrogado por igual período ou fração, mediante termo aditivo, até o limite de 60 (sessenta)
meses.
XX – DA GARANTIA
20
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 151
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2 – Não serão aceitos instrumentos de garantia que contenham cláusulas conflitantes com
dispositivos contratuais ao até mesmo restrinjam-lhe a cobertura ou a sua eficácia.
XXI – DA VISTORIA
1.1 – A vistoria deverá ocorrer por horário marcado, e será agendada, por meio dos telefones
(61) 3022-7400/7403.
1.2– O agendamento de vistoria poderá ocorrer até 48 (quarenta e oito) horas antes da data
e horário de abertura do processo licitatório.
1.3 - A vistoria técnica deverá ser realizada em até, no máximo, 24 (vinte e quatro) horas da
abertura do processo licitatório.
1. O objeto deste pregão será adjudicado pelo pregoeiro, salvo quando houver recurso, hipótese
em que a adjudicação caberá à autoridade competente para homologação.
2.2 – Caso entenda necessário examinar mais detidamente a conformidade das propostas com os
requisitos estabelecidos neste edital, bem como o preenchimento das exigências habilitatórias,
poderá o Pregoeiro, a seu exclusivo critério, suspender a sessão respectiva, hipótese em que
comunicará às licitantes, desde logo, a data e horário em que o resultado do julgamento será
divulgado no sistema eletrônico;
2.2.1 - A sessão pública somente poderá ser reiniciada mediante aviso prévio no sistema
com, no mínimo, 24 (vinte e quatro) horas de antecedência, cuja ocorrência será registrada
em ata.
21
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 152
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.4 – Revogar a presente licitação por razões de interesse público (art. 49, caput, da Lei n.
8.666/93), decorrente de fato superveniente devidamente comprovado;
5 – As normas que disciplinam este pregão serão sempre interpretadas em favor da ampliação da
disputa, desde que não comprometam o interesse da Administração e a segurança da contratação.
22
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 153
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
1. OBJETO
2. DETALHAMENTO DO OBJETO
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 154
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
3. FUNDAMENTAÇÃO DA CONTRATAÇÃO
Objetivo da Contratação
24
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 155
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
25
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 156
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
atuando por meio de Security Operations Center – SOC, ofertam diversas soluções
de segurança na modalidade de serviço. As maiores vantagens desta modalidade são:
26
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 157
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Para a nova contratação, ficou definida a vigência inicial de 24 (vinte e quatro) meses,
contados a partir do início da prestação dos serviços, podendo ser prorrogado até o
limite de 60 (sessenta) meses.
Este prazo foi definido em estrito cumprimento ao inciso II do art. 57 da Lei nº 8.666/93,
que determina que a prestação de serviços a serem executados de forma contínua,
poderão ter a sua duração prorrogada por iguais e sucessivos períodos com vistas à
obtenção de preços e condições mais vantajosas para a administração, limitada a
sessenta meses.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 158
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Cabe ressaltar que todos os serviços serão solicitados sob demanda, mediante
emissão de Ordem de Serviço, conforme disponibilidade orçamentária, e poderão ser
suspensos no futuro, caso tenhamos novos servidores de TI qualificados e em número
suficiente para a sustentação das soluções de segurança. Além disso, esta
contratação prevê, em alguns casos, o fornecimento de serviços na modalidade
“Software as a Service – SaaS”, onde o software necessário para a proteção do
ambiente é fornecido e operado pela empresa, que garantirá a aplicação contínua das
melhores práticas. Tal modelo evidencia-se mais efetivo e possibilita a utilização de
produtos de segurança por um menor custo, haja vista a possibilidade de utilização
28
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 159
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Do alinhamento estratégico:
Objetivos estratégicos:
Diretrizes:
29
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 160
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Fundamentação Legal
O presente Termo de Referência foi elaborado em conformidade com os seguintes
regramentos:
30
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 161
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Do Serviço Comum
31
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 162
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 163
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
4. OBRIGAÇÕES DA CONTRATADA
REQUISITOS INTERNOS
33
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 164
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
34
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 165
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
35
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 166
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
4.23 Durante toda a vigência do contrato, os serviços deverão ser realizados por
profissionais com as competências e certificações exigidas nas descrições dos
serviços, bem como capacitados nas tecnologias que eventualmente venham a
ser utilizadas durante sua execução. Tal qualificação sempre que exigida pelo
CJF, deverá ser comprovada por currículos e certificados oficiais;
36
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 167
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
37
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 168
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
38
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 169
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
REQUISITOS EXTERNOS
4.42 Manter sigilo, sob pena de responsabilidade civil, penal e administrativa, sobre
todo e qualquer assunto de interesse do CONTRATANTE ou de terceiros de que
tomar conhecimento em razão da execução do objeto deste contrato, devendo
orientar seus profissionais nesse sentido; Observar o cumprimento das normas
relacionadas com a segurança e higiene no trabalho;
4.43 Responsabilizar-se pela manutenção da limpeza e conservação dos ambientes
onde desempenhe seus serviços;
4.44 Responsabilizar-se pelos materiais, produtos, ferramentas e equipamentos
disponibilizados para a execução dos serviços, inclusive por perdas decorrentes
de roubo, furto ou outros fatos que possam vir a ocorrer;
4.45 Prestar os serviços dentro dos parâmetros e rotinas estabelecidos pelo
CONTRATANTE, com observância às recomendações aceitas pela boa técnica,
normas e legislação, bem como observar conduta adequada na utilização dos
materiais, equipamentos, ferramentas e utensílios;
39
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 170
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
40
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 171
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
5. OBRIGAÇÕES DO CONTRATANTE
5.1 O CJF deverá nomear um gestor e equipe de fiscais técnicos para acompanhar
a execução do contrato, que se tornará responsável pelo fiel cumprimento do
mesmo e seus elementos integrantes;
5.2 Suas obrigações são receber e atestar as notas fiscais de faturamento dos
serviços prestados, bem como, verificar a qualidade dos serviços por meio de
relatórios que comprovem o cumprimento dos níveis mínimos de serviço
estabelecidos. O gestor será também responsável por encaminhar as notas
fiscais para pagamento segundo os procedimentos internos do CJF;
5.3 O CJF deverá nomear um Fiscal Administrativo do contrato que irá fiscalizar
periodicamente os recolhimentos do FGTS, por empregado, o fornecimento de
vale transporte e auxílio alimentação, o pagamento de 13º salário, a concessão
de férias e o correspondente pagamento do adicional de 1/3, a realização de
exames admissionais e demissionais e periódicos, os eventuais cursos de
treinamento e reciclagem, a comprovação de encaminhamento ao Ministério do
Trabalho e Emprego da RAIS e CAGED, do cumprimento das convenções,
acordos e dissídios coletivos, e do efetivo pagamento dos valores salariais
lançados na proposta da CONTRATADA, mediante a verificação das folhas de
pagamento referentes aos meses de realização dos serviços, de cópias de
carteiras de trabalho dos empregados, dos recibos e dos respectivos
documentos bancários, entre outros meios de fiscalização cabíveis;
5.4 Solicitar a substituição do profissional que tenha infringido às normas do CJF,
ainda que em parte, dos itens indicados no item 4 - “Obrigações da
CONTRATADA”;
5.5 Permitir acesso dos prestadores de serviço da CONTRATADA às suas
dependências, aos equipamentos, softwares e sistemas de informação para a
execução dos serviços contratados;
5.6 Prestar as informações e os esclarecimentos pertinentes que venham a ser
solicitados pelos prestadores de serviço da CONTRATADA ou por seu preposto;
5.7 Efetuar o pagamento mensal devido pela execução dos serviços, desde que
cumpridas as formalidades e exigências do contrato;
5.8 Exercer a fiscalização dos serviços prestados;
41
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 172
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 173
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
43
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 174
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
44
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 175
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
45
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 176
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
7.1 Tem por objetivo sustentar e operar todas as soluções e produtos de segurança
do CJF, bem como a realização permanente de ações proativas voltadas para a
segurança do parque computacional do CJF, descritas no ANEXO III –
PLATAFORMA DE SEGURANÇA a fim de e mantê-lo estável, disponível e
integro.
7.2 A CONTRATADA deverá realizar avaliação completa do ambiente do contratante
com o objetivo identificar lacunas ou oportunidades de melhoria (Gap Analysis)
com o objetivo de avaliar a maturidade dos controles de segurança do
CONTRATANTE.
7.2.1 A análise dos controles de segurança deverá ser realizada obedecendo o
framework de segurança MITRE ATT&CK que utiliza base global de
conhecimento das táticas, técnicas e procedimentos (TTP’s) utilizados por
atacantes para avaliar a efetividade dos controles de segurança.
46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 177
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
7.2.2 A análise deverá ser conduzida por profissional com certificação CISSP –
Certified Information Systems Security, que será responsável pela
apresentação dos resultados da análise ao gestor, fiscais do contrato e
gestores de TI do CJF.
7.3 Principais atividades a serem executadas de forma contínua pela
CONTRATADA:
7.3.1 Acompanhar a execução dos serviços para o cumprimento dos níveis de
serviço estabelecidos;
7.3.2 Priorizar os atendimentos críticos, conforme definição do
CONTRATANTE;
7.3.3 Monitorar permanente e avaliar criticamente os produtos e serviços de
segurança do CONTRATANTE;
7.3.4 Traçar curvas de comportamento, definir a volumetria média de acessos
e identificar comportamentos não usuais, visando antecipar a
identificação de incidentes de segurança, antes mesmo de impacto nos
serviços;
7.3.5 Atuar proativamente na antecipação e identificação de incidentes de
segurança, antes mesmo do impacto nos serviços;
7.3.6 Reagir aos eventos de Segurança da Informação que possam afetar a
disponibilidade, integridade ou confidencialidade das informações
existentes nos sistemas ou serviços de TI do CONTRATANTE;
7.3.7 Atuar quando ocorrer a falha dos controles de segurança ou situação
previamente desconhecida e que tenha probabilidade de comprometer
os sistemas e serviços de TI.
7.3.8 Prover os fiscais do contrato com os relatórios técnicos e gerenciais
suficientes para a comprovação dos serviços realizados;
7.3.9 Supervisionar sua equipe na execução dos serviços de SI;
7.3.10 Elaborar e propor plano de execução dos serviços;
7.3.11 Organizar a alocação de turnos e de profissionais de sua equipe;
7.3.12 Definir plano de treinamento inicial e contínuo dos profissionais que
executam os serviços;
7.3.13 Executar outros serviços correlatos à supervisão dos profissionais na
execução dos Serviços Gerenciados de Segurança;
7.3.14 Orientar a atuação da equipe técnica em situações críticas de trabalho,
bem como interagir com os usuários quando a situação requerer;
47
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 178
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 179
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
49
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 180
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
50
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 181
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
51
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 182
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
52
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 183
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
53
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 184
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
deverá antes ser autorizado tal alteração pelo corpo técnico de segurança do
CONTRATANTE.
8.12 Mitigado o incidente de segurança, o próximo passo exigido é que a
CONTRATADA através do grupo de resposta a incidente de segurança (CSIRT
– Blue Team), inicie o processo de recolhimento de toda e quaisquer evidências,
e identificação dos serviços afetados. Tais evidências serão utilizadas até a
finalização do processo, para execução de análise forense do caso.
8.13 Inicia-se então o processo de restauração dos serviços e soluções afetadas.
Todo este processo é de responsabilidade da CONTRATADA, sendo realizado
pelo grupo de resposta a incidente de segurança (CSIRT – Blue Team) da
CONTRATADA.
8.14 Deve-se reunir os dados coletados durante o processo de tratamento de
incidente, para iniciar o processo de análise forense do mesmo, ainda pelo grupo
de resposta a incidente de segurança (CSIRT – Blue Team). Tal análise deve
ser realizada com o objetivo de identificar (pessoas, locais e/ou eventos),
correlacionando todas as informações reunidas, e gerando como produto final
um laudo sobre o incidente de segurança em questão.
8.15 Caso seja necessário a reconstrução do ataque, este deve ser realizado pela
CONTRATADA em ambiente controlado, usando-se por exemplo de sandbox
(mecanismo de segurança para separar programas em execução, geralmente
utilizado em um esforço para mitigar falhas de sistema ou vulnerabilidades de
segurança da informação). Tal ambiente deve ser de propriedade e controle da
CONTRATADA.
8.16 O grupo de resposta a incidente de segurança (CSIRT – Blue Team) da
CONTRATADA, deve documentar na ferramenta de incidente de segurança, as
lições aprendidas do incidente de segurança em questão, formando durante todo
o período de vigência do contrato uma grande base de conhecimento sobre
ataques adversos.
8.17 O serviço de resposta a incidentes serão responsáveis por monitorar
equipamentos e softwares componentes da soluções de segurança do
CONTRATANTE, envolvendo identificação, classificação e análise de eventos
que possam comprometer a disponibilidade, integridade e confidencialidade dos
serviços;
8.18 O regime de execução deste serviço deverá ser 24x7x365 (vinte e quatro horas
por dia, sete dias por semana, trezentos e sessenta e cinco dias por ano);
8.19 A contratada deverá prover serviços de resposta aos incidentes de segurança
da informação diante os eventos registrados no monitoramento;
54
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 185
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 186
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
9.1 Tem por objetivo, de forma proativa e recorrente (uma vez por mês), identificar
possíveis vulnerabilidades de segurança da informação no ambiente a fim de
evitar que ataques cibernéticos obtenham sucesso explorando vulnerabilidades
conhecidas;
9.2 O serviço também contempla as correções de vulnerabilidade, quando estas são
identificadas nos equipamentos e soluções de segurança;
9.3 Para a prestação deste serviço deverão ser utilizadas ferramentas para
descoberta de novas vulnerabilidades de aplicações e infraestrutura bem como
a gestão de todo ciclo de vida das vulnerabilidades encontradas, desde a
descoberta até a correta mitigação;
9.4 O CONTRATANTE possui licenças da solução para gestão de vulnerabilidades
Nexpose da fabricante Rapid7 que atualmente não estão cobertas por suporte.
Apesar desta solução ser de propriedade do CONTRATANTE, será de
responsabilidade da CONTRATADA a renovação ou substituição da solução,
bem como operar, sustentar, suportar e apresentar a melhoria contínua da
ferramenta ofertada durante todo o período de vigência do contrato;
9.5 A ferramenta de gestão de vulnerabilidades deverá ser capaz de escanear e
gerenciar no mínimo 1.500 (hum mil e quinhentos) ativos, podendo ser estações
de trabalho, notebooks, switches, roteadores, access points, servidores de rede,
servidores de aplicações, servidores de banco de dados, aplicações web etc;
56
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 187
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
9.6 Efetuar descoberta dos ativos que possuam endereço IP, sejam servidores de
rede, máquinas virtuais, estações de trabalho, serviços de infraestrutura,
aplicações, switches etc;
9.7 Suportar múltiplos scanners, gerenciando e compartilhando recursos de
verificação de uma console centralizada;
9.8 Permitir correlacionar eventos baseados no sistema operacional,
porta/protocolo, banners e vulnerabilidades.
9.9 Permitir detectar vulnerabilidades em aplicações Web, bases de dados,
aplicações comerciais, sistemas operacionais e dispositivos de rede;
9.10 Permitir verificar vulnerabilidades em ambiente Windows para, no mínimo:
detecção de hot fixes, service packs, registros, backdoors, trojans, malwares,
peer to peer, portas de serviço habilitadas e antivírus.
9.11 Suportar efetuar varredura à procura de vulnerabilidades e exploits.
9.12 Permitir detectar vulnerabilidades em dispositivos de redes sem fio, aplicações
baseadas em WEB, bases de dados, aplicações comerciais, sistemas
operacionais e dispositivos de rede.
9.13 Permitir a descoberta das vulnerabilidades para os equipamentos, produtos,
peças ou softwares alocados para atender aos requisitos de todos os itens de
serviço e para todo o ambiente computacional do CJF.
9.14 CONTRATADA deverá compor ao ambiente de segurança da informação
atualmente implementadas no CONTRATANTE, soluções de gestão de
vulnerabilidades capazes de identificar vulnerabilidades de infraestrutura e
aplicações, que possam comprometer a disponibilidade, integridades e
confiabilidade dos dados e serviços do CONTRATANTE.
9.15 As soluções de prestação dos Serviços de Gestão de Vulnerabilidades deverão
serem instaladas no CONTRATANTE, de modo a prover varredura, identificação
e gestão de vulnerabilidades do parque computacional do CONTRATANTE.
9.16 Deverá ser utilizada, pelo menos, 01 (uma) ferramenta de análise de
vulnerabilidade com foco em infraestrutura, e 01 (uma) ferramenta de análise de
vulnerabilidade com foco em aplicações web.
9.17 Apesar de ser necessário e permitida a utilização de ferramentas para
descoberta de vulnerabilidades no ambiente do CONTRATANTE, se espera que
a CONTRATADA se utilize também de métodos e técnicas assistidas, para
identificar possíveis vulnerabilidades no ambiente do CONTRATANTE.
9.18 A fim de mitigar e prever possíveis impactos durante as rotinas de validação de
vulnerabilidade, antes do início da execução do serviço, as ferramentas
57
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 188
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 189
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
59
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 190
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
60
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 191
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
61
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 192
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 193
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
63
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 194
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
64
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 195
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 196
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
66
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 197
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
67
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 198
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
10.3.73 Todas as funções abaixo deverão ser executadas pela mesma solução
tecnológica. Caso sejam necessários componentes externos, eles
devem fazer parte da solução proposta;
10.3.74 Suportar a coleta de dados de no mínimo 1000 (hum mil) ativos;
10.3.75 Caso a solução trabalhe sem agentes (agentless), deverá prover
funcionalidades análogas, sem perda de caracterização da solução;
10.3.76 Ter seu coletor de dados com funcionalidades de coletar, aplicar parsing,
normalizar, classificar, agregar informações, sumarizar, processar
regras, compactar e armazenar os dados recebidos dos elementos
geradores de eventos presentes no ambiente tecnológico;
10.3.77 Ter seu correlacionador a capacidade de processar regras tanto em
tempo de coleta como em tempo de análise, analisar e correlacionar
eventos globais advindos dos dispositivos do ambiente tecnológico e
aplicar regras de correlacionamento e análise conforme regras
configuráveis antes, durante e após o processamento. Essas regras
serão definidas e customizadas na fase de instalação e configuração da
solução;
10.3.78 Ter um sistema de armazenamento de eventos capaz de receber
informações e dados enviados pelos ambientes tecnológicos, ou de
diferentes fontes, compactar, organizar e armazenar e gerenciar todo o
ciclo de armazenamento da solução, garantida a integridade do dado no
formato raw;
10.3.79 Ter um console de monitoramento e operação para visualizar os dados
dos dispositivos do ambiente tecnológico exibindo resultados que
proporcionem o controle sobre o ambiente corporativo no ponto de vista
de:
a) Análise de incidentes;
b) Segurança da informação na perspectiva de SIEM (alertas) e forense
(correlação, pesquisas ad hoc e relatórios) ;
c) Análise de segurança da informação garantindo a integridade dos
eventos e evidências.
10.3.80 Permitir investigação de ataques, anomalias, alvos de ataque, atacantes
da rede e correlacionar eventos e atividades de rede, bem como
identificar os alvos;
10.3.81 Emitir relatórios executivos, operacionais e de conformidade a normas
de mercado e flexibilidade na criação de novos relatórios pelos próprios
usuários, sem interferência de componentes externos ou a necessidade
68
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 199
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
69
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 200
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
70
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 201
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
71
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 202
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
72
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 203
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 204
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
74
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 205
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
75
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 206
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
76
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 207
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
77
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 208
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
78
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 209
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
79
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 210
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
80
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 211
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
81
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 212
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
82
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 213
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
83
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 214
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 215
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
85
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 216
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
86
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 217
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
b) Ameaças encontradas;
c) Riscos levantados ao ambiente computacional;
d) Contramedidas para mitigar as ameaças encontradas.
12.13 Relatório de Teste de Invasão:
12.13.1 Deverá ser elaborado e entregue ao CONTRATANTE após a fase de
ataque, o relatório “RELATÓRIO TESTE DE INVASÃO” para cada teste
que será realizado, contemplando no mínimo informações, tais como:
12.13.2 Objetivos, premissas e escopo do teste, datas e horas dos testes,
metodologia de análise de vulnerabilidades, descrição das ações
realizadas, metodologias, vulnerabilidades encontradas, categorização
e severidade das vulnerabilidades, possíveis problemas aplicáveis,
recomendações e controles de segurança necessários para correção
das vulnerabilidades, apresentação das evidências apuradas, fontes de
pesquisa, referências e ferramentas utilizadas, informações acessadas
e demais evidências do sucesso da invasão.
12.13.3 Após a fase de ataque, deverão ser atendidas e apresentadas no
Relatório, no mínimo, as seguintes informações detalhadas:
a) Detalhes da infraestrutura descoberta, alvo dos testes de invasão;
b) Equipamentos e recursos demandados para este teste;
c) Tipos de ataque;
d) Prazos (janelas de tempo para execução dos testes) ;
e) Pontos de contato da contratada (responsáveis para tratamento de
questões abordadas nos testes) ;
f) Tipos de testes realizados pelos especialistas em segurança da
informação;
g) Confirmação ou refutação de a existência de vulnerabilidades;
h) Documentação sobre o caminho utilizado para exploração, avaliação
do impacto e prova da existência da
i) vulnerabilidade;
j) Obtenção de acesso e possível escalada de privilégios;
k) Detalhamento da metodologia do ataque;
l) Recomendações para sanar riscos e vulnerabilidades.
12.13.4 Reunião para apresentação do relatório de recomendações e descrição
das atividades executada durante o teste;
87
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 218
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 219
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
89
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 220
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
90
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 221
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
91
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 222
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
14.6 A nota de cobrança emitida pela CONTRATADA deverá ser atestada em até 7
(sete) dias úteis pelo Gestor do contrato e encaminhada para a área financeira
efetuar o pagamento, acompanhada dos relatórios gerenciais de serviços e
documentação comprobatória do não atendimento dos resultados ou níveis de
serviço exigidos;
14.7 No caso de discordância das glosas aplicadas, a CONTRATADA deverá
apresentar o recurso que será analisado pela área administrativa. Se a decisão
da Administração for favorável ao recurso da CONTRATADA, esta emitirá a nota
de cobrança adicional para que seja efetuado o pagamento referente ao valor
glosado;
14.8 Apresentada a nota fiscal de cobrança na forma aqui estabelecida, terá o
CONTRATANTE o prazo máximo de 10 (dez) dias úteis para efetuar o
pagamento, contados a partir do atesto;
14.9 Para os inadimplementos que não estão previstos no Anexo I, o CONTRATANTE
abrirá processo administrativo e seguirá o rito definido nas SANÇÕES
ADMINISTRATIVAS;
14.10 Deverá ser encaminhado mensalmente, em conjunto com a fatura, a seguinte
documentação que será analisada e aprovada pelo representante da área
administrativa (Fiscal Administrativo do Contrato). Os documentos
comprobatórios listados nos itens abaixo são necessários apenas para os
colaboradores que prestaram serviço nas dependências do CJF por mais de 15
(quinze) dias no mês em questão:
14.10.1 Comprovação de pagamento de salários do mês da prestação dos
serviços objeto de faturamento, mediante apresentação de folha de
pagamento específica, em que conste como tomador o Conselho da
Justiça Federal, acompanhada de cópias dos recibos de depósitos
bancários ou contracheques assinados pelos profissionais;
14.10.2 Planilha de composição de custo, com a discriminação dos custos de
mão-de-obra;
14.10.3 Planilha formadora de custos de mão-de-obra, nos termos da IN
n.05/2017 e IN n.07/2018 do Ministério do Planejamento,
Desenvolvimento e Gestão;
14.10.4 Guia de Recolhimento do Fundo de Garantia do Tempo de Serviço e
Informações à Previdência Social – GFIP específica, em que conste
como tomador o CJF, relativa ao mês da prestação de serviço;
14.10.5 Comprovante de entrega de benefícios suplementares (vale transporte,
vale-alimentação etc.), a que estiver obrigada, por força de lei ou de
convenção ou acordo coletivo de trabalho;
92
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 223
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 224
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
15.1 A CONTRATADA deverá iniciar a prestação dos serviços objeto deste termo, de
acordo com os cronogramas apresentados no Anexo V;
15.2 Para execução dos serviços, será implementado método de trabalho baseado
no conceito de delegação de responsabilidade. Esse conceito define o
CONTRATANTE como responsável pela gestão do contrato e pela atestação da
aderência aos padrões de qualidade exigidos dos serviços entregues e a
CONTRATADA como responsável pela execução dos serviços e gestão dos
profissionais a seu cargo;
15.3 A CONTRATADA será responsável pela execução dos serviços e seu
acompanhamento diário da qualidade e dos níveis de serviço alcançados com
vistas a efetuar eventuais ajustes e correções. Quaisquer problemas que
venham a comprometer o bom andamento dos serviços ou o alcance dos níveis
de serviço estabelecidos devem ser imediatamente comunicados por escrito ao
CONTRATANTE;
15.4 Após a assinatura do contrato, será emitida Ordem de Serviço de Transição –
OST com o objetivo de viabilizar a transferência de conhecimentos e o repasse
dos serviços à nova CONTRATADA;
15.5 A CONTRATADA deverá apresentar no prazo máximo de 10 (dez) dias corridos
a partir da emissão da Ordem de Serviço de Transição - OST, carta de
apresentação juntamente com os documentos comprobatórios (certificados
oficiais) contendo os respectivos dados pessoais e informações quanto à
habilitação e qualificação profissional de todos os seus profissionais que serão
alocados na execução de serviços no CONTRATANTE;
15.6 Quando da apresentação dos documentos comprobatórios de qualificação, a
CONTRATADA deverá observar atenciosamente à qualificação exigida,
conforme descrito no Item 13 - Dos perfis profissionais. Caso a documentação
não atenda às exigências deste item, a CONTRATADA deverá apresentar
94
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 225
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
95
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 226
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
96
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 227
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
ENCAMINHAMENTO DE DEMANDAS
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 228
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
98
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 229
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
99
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 230
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
SANÇÕES ADMINISTRATIVAS
15.39 O CONTRATANTE poderá aplicar as seguintes sanções: advertência, multa,
impedimento de licitar e contratar com CJF, e será descredenciada do SICAF,
pelo prazo de até cinco anos, de acordo com a Lei 10.520/2002, Decreto
10.024/2019 e Lei 8.666/1993, assegurados o contraditório e a ampla defesa:
15.39.1 Advertência;
15.39.2 MULTA MORATÓRIA de 0,5% (zero vírgula cinco por cento) sobre
o valor mensal do contrato, por dia de atraso na apresentação da
nota fiscal de faturamento, de acordo com os níveis de serviços e
eventuais glosas apuradas pelo CONTRATANTE;
15.39.3 MULTA MORATÓRIA de 0,5% (zero vírgula cinco por cento) sobre
o valor mensal do contrato, por dia de atraso na apresentação da
relação de profissionais que prestarão os serviços alocados no
CONTRATANTE;
15.39.4 MULTA MORATÓRIA de 0,5% (zero vírgula cinco por cento) do valor
mensal do contrato por dia de atraso decorrido em caso de
descumprimento do prazo estabelecido na cláusula DO
100
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 231
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
101
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 232
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Será aplicada:
a) MULTA MORATÓRIA de 10% (dez por cento) do valor mensal
do contrato, em caso de INEXECUÇÃO PARCIAL DOS
SERVIÇOS MENSAIS do contrato; ou
b) MULTA MORATÓRIA de 20% (vinte por cento) do valor mensal
do contrato, em caso de INEXECUÇÃO TOTAL DOS
SERVIÇOS MENSAIS do contrato;
15.39.14 Suspensão temporária do direito de participar em licitação e
impedimento de contratar com a Administração pelo prazo no
contrato;
15.39.15 Declaração de inidoneidade para licitar ou contratar com a União,
Estados, Distrito Federal ou Municípios, quando a CONTRATADA
deixar de cumprir as obrigações assumidas, praticando falta grave,
dolosa ou revestida de má-fé;
102
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 233
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
16. VIGÊNCIA
16.1 O Contrato terá vigência de 24 (vinte e quatro) meses a contar da data do início
da prestação dos serviços, podendo ser prorrogado até o limite de 60 (sessenta)
meses, nos termos da Lei.
16.2 Caso ocorra a prorrogação da vigência do Contrato, observadas as disposições
constantes no art. 57, da Lei n.º 8.666/1993, a CONTRATADA deverá
providenciar a devida renovação da garantia prestada, com validade de 3 (três)
meses após o término da vigência contratual, tomando-se por base o valor
atualizado do Contrato.
103
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 234
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
104
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 235
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 236
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
106
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 237
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Total a contingenciar
(*) A incidência recai sobre as verbas de 13º salário, férias e 1/3 constitucional, variando de acordo com
o RAT Ajustado da contratada.
(**) Caso o contrato firmado entre a empresa e o banco oficial tenha previsão de desconto da taxa de
abertura e manutenção diretamente na conta vinculada, esse valor deverá ser retido da fatura e
devolvido à conta vinculada, nos termos do inciso VIII do artigo 17 da Resolução CNJ n. 169/2013.
18.2 O contingenciamento será feito mensalmente, mediante depósito em conta-
depósito vinculada – bloqueada para movimentação -, cujo saldo será
remunerado pelo índice da poupança ou outro definido com a instituição
financeira, recaindo a opção sempre pelo de maior rentabilidade, na forma
estabelecida pela Instrução Normativa CJF nº 01/2016;
18.3 A CONTRATADA deverá providenciar a assinatura dos documentos relativos
à abertura e movimentação da conta-depósito vinculada (bloqueada para
movimentação), em até 20 (vinte) dias a contar da notificação do
CONTRATANTE;
18.4 Eventuais despesas com abertura e manutenção da conta-depósito vinculada
deverão ser suportadas pela CONTRATADA e integrarão os custos com taxa
de administração, constante da proposta comercial da empresa;
18.5 Caso o banco promova desconto(s) diretamente na conta-depósito vinculada
– bloqueada para movimentação –, das despesas com abertura e manutenção
da referida conta, o valor correspondente será retido do pagamento mensal
devido à CONTRATADA e depositado na conta-depósito vinculada;
107
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 238
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
108
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 239
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 240
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
110
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 241
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
21. VISTORIA
22. GARANTIA
111
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 242
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
112
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 243
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
113
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 244
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Glosa por
Item Descrição Referência
inadimplemento
114
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 245
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
115
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 246
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
116
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 247
Anexo I - M Estudo Técnico Preliminar Digital (17166682)
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
117
Anexo I - M Estudo Técnico Preliminar Digital (17166682)
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
118
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
119
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 250
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Submódulo 2.2 - Encargos Previdenciários (GPS), Fundo de Garantia por Tempo de Serviço (FGTS)
e outras contribuições.
120
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 251
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Total 0,00% -
Nota 1: O percentual de 1,94% indicado no Aviso Prévio Trabalhado torna-se custo não renovável
decorridos 12 meses.
Nota 2: Os percentuais do Módulo 3 já incidem sobre remuneração, 13º salário, férias e adicional de
férias.
121
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 252
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
122
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 253
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Total 8,65% -
Nota 1: Custos Indiretos, Tributos e Lucro por empregado.
Nota 2: A empresa que indicar "desoneração" do Submódulo 2.2 deverá incluir uma rubrica para
tributação da Contribuição Previdenciária sobre a Receita Bruta - CPRB.
123
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 254
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
124
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 255
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Marca /
Tipo do
Modelo do Descrição Quantidade
Proteção
Ativo
Trend Micro Bloqueio contra exploração de
Vulnerability vulnerabilidades conhecidas 500
Protection (virtual patch)
Trend Micro
Endpoint Controle de aplicações instaladas
500
Application nas estações de trabalho
Control
Anti-malware para estações de
trabalho, Bloqueio contra
Trend Micro exploração de vulnerabilidades
conhecidas (virtual patch), 500
Apex One Bloqueio contra exploração de
vulnerabilidades conhecidas
(virtual patch) e EDR.
Trend Micro
Nuvem Cloud App Proteção para Office 365 1
Security
Trend Micro
Mobile Mobile Security Proteção para smartphones 10
for Enterprise
Trend Micro
Gerenciador dos produtos Trend
Control 1
Micro
Manager
Trend Micro Servidor de atualização e de
Smart verificação de reputação de
Ferramentas 1
Protection arquivos que se comunica com a
de Gerência
Server nuvem da Trend Micro
Rapid 7
Solução para gestão de
Nexpose vulnerabilidades de segurança 1
Security dos ativos de TI
Console
125
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 256
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Marca /
Tipo do
Modelo do Descrição Quantidade
Proteção
Ativo
Fortinet
Gerenciamento centralizado de
FortiManager 1
segurança
VM
Fortinet
Centralizador de logs dos
FortiAnalyzer 1
produtos Fortinet
VM
ServiceNow
Gerenciamento de serviços de TI 1
ITSM
126
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 257
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
1 - TERMO DE VISTORIA
Declaro, para fins de participação na licitação em epígrafe, que vistoriei
minuciosamente o ambiente tecnológico do CONTRATANTE em que será prestado o
serviço e que tomei conhecimento de todas as informações necessárias à execução
do contrato e proclamo estar ciente da complexidade dos serviços, bem como dos
termos e condições descritos no respectivo edital e seus módulos.
Declaro que todas as dúvidas que porventura foram por mim questionadas,
foram respondidas pela equipe técnica do CJF e que marquei de próprio punho os
itens abaixo.
Tomei conhecimento
existente, modelos
dos procedimentos adotados, documentação
de acompanhamento, recomendações e
normatizações da Organização.
Brasília, / /20__.
___________________________________________________________
ASSINATURA DO REPRESENTANTE TÉCNICO DA EMPRESA
127
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 258
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
____________________________________________________________
ASSINATURA DO REPRESENTANTE TÉCNICO DO CJF
2 – DECLARAÇÃO DE NÃO-NEPOTISMO
2.1. O modelo a seguir corresponde à declaração a ser assinada por cada profissional
alocado em qualquer serviço objeto deste edital.
NOME:......................................................................................................................................
RG:........................ ÓRGÃO EMISSOR:.......................... CPF: ..............................................
DATA DE INGRESSO NO TRIBUNAL: ....................................................................................
ÁREA DE LOTAÇÃO ATUAL: ..................................................................................................
DECLARAÇÃO DE PARENTESCO
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 259
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
EMPRESA: XXXXXXXXXXXXXXXXXXXXXXXXXXX
CNPJ/MF: NNNNNNNN
NOME DO(A)
EMPREGADO(A):......................................................................................................................
RG:.................................... ÓRGÃO EMISSOR:..........................
CPF: .......................................................
RELAÇÃO DE CÔNJUGE, COMPANHEIRO(A) E/OU PARENTE(S) QUE O(A) EMPREGADO(A)
ABAIXO POSSUI NO ÂMBITO DO XXXXXXXXXX, CONFORME RESOLUÇÃO 7/2005 – CNJ,
ALTERADA PELA RESOLUÇÃO 9/2005 – CNJ:
Nome do parente: .............................................................................................................................
Grau de parentesco: .........................................................................................................................
Órgão e cargo do parente: ..............................................................................................................
129
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 260
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Local e data
______________________________________
Assinatura
(representante legal da empresa)
130
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 261
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
– DECLARAÇÃO DE SIGILO
2.3. O modelo a seguir corresponde à declaração a ser assinada pelo representante
e por cada profissional alocado em qualquer serviço objeto deste edital.
Local e data
______________________________________
Assinatura
131
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 262
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
ANEXO V do -
Prazo Máximo Cronograma de Atividade da Prestação dos Serviços
Responsável
(em dias Gerenciados de Segurança
Corridos)
CJF e
D + 20 Início da prestação dos serviços.
CONTRATADA
132
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 263
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
133
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 264
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Descrever os
nomes dos Preço
Preço
Item Descrição Quantidade produtos unitário
Total (R$)
ofertados (se (R$)
aplicável)
Serviço de Operação e Atendimento
1 24 meses
à Requisições
Serviço de Gestão de Incidentes de
2 24 meses
Segurança (CSIRT - Blue Team)
Serviço de Gestão de
3 24 meses
Vulnerabilidades
4.1 Serviço de 24 meses (15
4 Visibilidade de GB/dia ou
Logs, Fluxos e
440 EPS)
Informações
Serviço de 4.2 Serviço de
Monitoramento e Análise de
Visibilidade de Comportamento 24 meses
Ataques de Usuário
Cibernéticos (UBA)
4.3 Serviço de
Análise de
24 meses
Tráfego de Rede
(NTA)
Serviço de Orquestração,
5 Automação e Resposta de Segurança 24 meses
(SOAR)
134
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 265
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 266
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
c) Caso uma certificação não seja mais válida, será aceita a nova certificação
que substituiu à anterior;
d) As certificações técnicas exigidas devem estar válidas;
3.1.8 O CJF poderá a qualquer momento recusar o atendimento dos serviços por
profissionais que não atendam aos requisitos que qualificação especificados. A
DETENTORA terá o prazo de 2 (dois) dias úteis a contar da data de recusa para apresentar
a documentação do novo profissional;
3.1.9 Será considerado como período de transição, os 10 (dez) dias corridos contados
a partir da entrega da documentação completa da equipe de profissionais na forma dos
subitens anteriores. Neste período a DETENTORA antecessora atuará conjuntamente
com a recém- DETENTORA, priorizando a documentação e retenção de conhecimento
para a continuidade dos serviços de TI e a mitigação de impacto nas atividades dos
usuários de tais serviços;
3.1.10 A DETENTORA deverá iniciar a prestação dos serviços em; no máximo; 20
(vinte) dias corridos após a emissão da Ordem de Serviço – OS.
3.1.11 Não ocorrerá período de transição caso não ocorra a substituição da empresa
prestadora de serviços. A prestação dos serviços deverá seguir o Cronograma de
Atividades, conforme Anexo V do Termo de Referência.
3.1.12 O período inicial de 90 (noventa) dias após a emissão da Ordem de Serviço
Rotineira - OSR, será considerado como período de estabilização da operação dos
serviços, durante o qual os indicadores de serviço não atingidos terão aplicadas as glosas
da tabela do Anexo I do termo de referência, conforme os seguintes critérios:
a) Nos primeiros 30 (trinta) dias: aplicar-se-á efetivamente 25% (vinte e cinco por
cento) dos pontos previstos na tabela do Anexo I do termo de referência, para cada
ocorrência de indicador de serviço não atingido;
b) Do 31º ao 60º dia: aplicar-se-á efetivamente 50% (cinquenta por cento) dos pontos
previstos na tabela do Anexo I do termo de referência, para cada ocorrência de
indicador de serviço não atingido;
c) Do 61º ao 90º dia: aplicar-se-á efetivamente 75% (setenta e cinco por cento) dos
pontos previstos na tabela do Anexo I do termo de referência, para cada ocorrência de
indicador de serviço não atingido;
d) Após 90 (noventa): aplicar-se-ão integralmente os pontos previstos na tabela do
Anexo I do termo de referência, para cada ocorrência de indicador de serviço não
atingido.
3.1.13 Caso haja prorrogação da vigência contratual, não haverá novo período de
estabilização;
3.1.14 Ao final do contrato de prestação dos serviços, a empresa DETENTORA deverá
fornecer, pelo período 90 (noventa) dias corridos, todas as informações necessárias à
transição para a nova DETENTORA, além de elaborar e atualizar toda a documentação
que por ventura não tenha sido devidamente gerada ou atualizada durante o período de
vigência do contrato;
3.1.15 A DETENTORA deverá responsabilizar-se pela transição inicial e final dos
serviços, absorvendo as atividades de forma a documentá-las minuciosamente para que
os repasses de informações, conhecimentos e procedimentos, no final dos contratos,
aconteçam de forma precisa e responsável;
3.1.16 Quando houver necessidade de qualquer alteração na equipe de
profissionais que prestam o serviço no ÓRGÃO GERENCIADOR, a
136
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 267
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
137
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 268
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
a) A Ordem de Serviço somente poderá ser encerrada quanto todos os objetivos propostos
forem plenamente atingidos, e todos os produtos e serviços realizados e entregues com a
qualidade demandada e devidamente atestada pelo demandante e pelo gestor do ÓRGÃO
GERENCIADOR;
b) Antes do fechamento de cada OS a DETENTORA consultará o representante indicado
pela DETENTORA, que avaliará e atestará o serviço realizado;
c) Uma requisição de serviço ou incidente encerrado sem anuência do ÓRGÃO
GERENCIADOR ou sem que tenha sido de fato resolvido será reaberto e os prazos serão
contados a partir da abertura original da requisição de serviço ou incidente, inclusive para
efeito de aplicação das sanções previstas.
3.3.1 Os níveis mínimos de serviços são critérios objetivos e mensuráveis que visam
aferir e avaliar diversos fatores relacionados com os serviços contratados, quais sejam:
qualidade, desempenho, disponibilidade, abrangência/cobertura e segurança;
3.3.2 Os níveis mínimos de serviços estão detalhados no Anexo I do termo de referência
– Níveis Mínimos de Serviço;
3.3.3 O não atingimento de um mesmo nível de serviços durante 3 (três) meses
consecutivos ou 5 (cinco) meses intervalados, em um período de 12 (doze meses, ensejará
a execução das Sanções Administrativas previstas no contrato;
3.3.4 A DETENTORA sofrerá glosa de 1% (um por cento), sobre o valor da fatura, a
cada 15 pontos ou percentual proporcional ao número de pontos, levando em
consideração a relação: glosa de 1% a cada 15 pontos;
3.3.5 As metas devem ser medidas do primeiro ao último dia de cada mês;
3.3.6 A meta exigida representa o parâmetro de valor exato (=), limite máximo (<=) ou
limite mínimo (>=) que deve ser alcançado pela DETENTORA para cada um dos
indicadores;
3.3.7 Os tempos serão contados a partir do recebimento da solicitação do cliente. No
caso da contagem em dias, a contagem é efetuada dia a dia, incluindo o primeiro e o
último dia;
3.3.8 No caso da resolução de incidentes, se o mesmo não tiver a sua causa raiz
conhecida, ou seja, existe um problema a ser resolvido, a DETENTORA é obrigada a
aplicar uma solução de contorno na resolução do incidente para que o serviço volte à sua
operação padrão;
3.3.9 Os níveis de serviço serão mensurados de forma automatizada e não poderão ser
manipulados pela DETENTORA;
138
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 269
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
139
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 270
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
5.1 A validade desta ata de registro de preços será de 12 (doze) meses, contados a partir da data
de assinatura do CJF.
6.1 O valor mensal estimado do contrato para cobrir as despesas relativas à Ata de Registro de
Preços é de R$ 0000,00 (por extenso), conforme discriminado na clausula 2.
7.1 As despesas decorrentes desta contratação, no corrente exercício, correrão à conta dos
recursos consignados, inclusive os suplementados, ao Conselho da Justiça Federal, no
Orçamento Geral da União, no Programa de Trabalho Resumido - PTRES: (________),
Natureza da Despesa - ND: (________)
7.2 A despesa para o exercício subsequente será alocada à dotação orçamentária prevista para
atendimento dessa finalidade, a ser consignada ao ÓRGÃO GERENCIADOR, na respectiva
Lei Orçamentária Anual.
8.1 A DETENTORA apresentará, nos termos do art. 56 da Lei n. 8.666/1993, em até 20 (vinte)
dias úteis, contados da assinatura do instrumento contratual, garantia de execução do contrato
no valor de R$ 000 _________(extenso), correspondente a 3% (cinco por cento) do valor total
estimado da contratação, tendo como beneficiário o ÓRGÃO GERENCIADOR, quais sejam:
140
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 271
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
141
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 272
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
8.2.7 A garantia deverá ser prestada com validade de 3 (três) meses após o término da
vigência do contrato e será liberada ou restituída ante a comprovação do adimplemento
total das obrigações contratuais, desde que não haja pendências.
8.2.8 O termo da garantia será restituído à DETENTORA após o cumprimento integral
de todas as obrigações contratuais.
8.2.9 Na ocorrência de qualquer inadimplemento das obrigações contratadas, o ÓRGÃO
GERENCIADOR notificará a empresa seguradora da expectativa de sinistro com vistas
a resguardar a administração de possíveis prejuízos, mediante provocação da unidade
gestora responsável pelo acompanhamento da execução contratual, durante a vigência da
apólice.
142
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 273
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
PORCENTAGEM ALCANÇADA DO
NÍVEL DE SERVIÇO EM RELAÇÃO TIPO DE INEXECUÇÃO DOS
A META EXIGIDA NO ANEXO I do SERVIÇOS MENSAIS
Termo de Referência
50% A 69,9% PARCIAL
0% A 49,9% TOTAL
Será aplicada:
a) MULTA MORATÓRIA de 10% (dez por cento) do valor mensal do contrato, em
caso de INEXECUÇÃO PARCIAL DOS SERVIÇOS MENSAIS do contrato; ou
b) MULTA MORATÓRIA de 20% (vinte por cento) do valor mensal do contrato, em
caso de INEXECUÇÃO TOTAL DOS SERVIÇOS MENSAIS do contrato;
9 .2 Pela inexecução total ou parcial o ÓRGÃO GERENCIADOR poderá, nos termos do art.
87 da Lei n. 8.666/1993, aplicar as seguintes sanções:
a) advertência;
b) MULTA COMPENSATÓRIA de 10% (dez por cento) do valor total do contrato,
em caso de INEXECUÇÃO PARCIAL das obrigações contratuais;
143
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 274
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 275
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
desde que formuladas por escrito, no prazo máximo de 5 (cinco) dias úteis, contados da data da
notificação.
9.8 A aplicação das sanções previstas nesta cláusula será realizada mediante processo
administrativo específico, mediante comunicação à DETENTORA da penalidade, sendo
assegurado, em todos os casos, o contraditório e a ampla defesa, no prazo de 5 (cinco) dias,
contados do recebimento da comunicação.
9.9 Em caso de aplicação de multa, o valor poderá ser descontado da garantia prestada, dos
pagamentos eventualmente devidos à DETENTORA, ser recolhido ao Tesouro por meio Guia
de Recolhimento da União – GRU, ou cobrado judicialmente, nos termos do § 3º do art. 86 da
Lei n. 8.666/1993.
9.10 O atraso no recolhimento de multas será corrigido monetariamente pela variação
acumulada do Índice Nacional de Preços ao Consumidor Amplo/IPCA, calculado e divulgado
pelo Instituto Brasileiro de Geografia e Estatística/IBGE
9.11 O ÓRGÃO GERENCIADOR promoverá o registro no Sistema de Cadastramento
Unificado de Fornecedores - SICAF de toda e qualquer penalidade imposta à DETENTORA.
145
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 276
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
146
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 277
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
15.1 Para dirimir quaisquer conflitos oriundos desta ata, é competente o foro do Juízo da Seção
Judiciária do Distrito Federal, com expressa renúncia a qualquer outro, por mais privilegiado
que seja, no que se refere a qualquer ação ou medida judicial originada ou referente a este
instrumento.
16.1 Nos termos do §1º do art. 12 do Decreto 7.892/2013, é vedado efetuar acréscimos nos
quantitativos fixados nesta ata.
16.2 NÃO serão permitidas adesões à ata (caronas), previstas no artigo 22 do Decreto n. 7.892
(de 23 janeiro 2013). (Acórdão TCU n. 1.297/2015 – Plenário, TC 003.377/2015-6, relator
Ministro Bruno Dantas, 27.5.2015)
E, por estarem assim de pleno acordo, assinam as partes este instrumento, na forma eletrônica,
para todos os fins de direito.
SIGNATÁRIO EMPRESA
147
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 278
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
148
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 279
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
149
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 280
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
150
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 281
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
151
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 282
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
152
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 283
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.3.8 No caso da resolução de incidentes, se o mesmo não tiver a sua causa raiz conhecida,
ou seja, existe um problema a ser resolvido, a CONTRATADA é obrigada a aplicar uma
solução de contorno na resolução do incidente para que o serviço volte à sua operação padrão;
2.3.9 Os níveis de serviço serão mensurados de forma automatizada e não poderão ser
manipulados pela CONTRATADA;
2.3.10 A CONTRATADA se responsabilizará somente pelos índices que reflitam as
requisições de serviços e incidentes designados a ela, não poderá ser responsabilizada por
chamados pendentes de fornecedores/prestadores de serviços externos ou encaminhados a
outros níveis, ou situações que dependam de terceiros, que, desta forma, não poderão ser
computados;
2.3.11 O termo “Hora do restabelecimento” refere-se a hora em que o incidente de
indisponibilidade foi efetivamente resolvido;
2.3.12 Por requisições de serviço e incidentes reabertos entende-se que são requisições de
serviço ou incidentes que foram dados como resolvidos, porém os mesmos ainda permanecem
pendentes de resolução;
2.3.13 Por horário normal de produção entende-se sendo o período entre 09:00 e 20:00, de
segunda à sexta-feira, excetuando-se os feriados;
2.3.14 Sobre o índice de supervisão e intervenção proativa:
a) A manutenção proativa visa detectar com antecedência os possíveis problemas que
possam vir a ocorrer devido à necessidade de suporte, como aplicação de patches,
correções de firmware, ou algum outro dispositivo que possa impactar no desempenho ou
disponibilidade dos Sistemas Monitorados pela CONTRATADA, podendo ser
visualizados mediante acompanhamento e análise diária de desempenho e produção dos
recursos e também através de testes rotineiros de stress e carga;
b) Deverão ser analisados em tempo real os desempenhos dos serviços críticos inserindo
as manutenções e os suportes necessários de maneira a proporcionar a continuidade e
disponibilidade dos serviços. Diariamente deverão ser analisados os registros internos dos
hardwares e softwares para avaliação e detecção de intervenções necessárias,
submetendo-os à CONTRATANTE para programação das intervenções que permitirem
agendamento;
c) É obrigação da CONTRATADA efetuar as intervenções necessárias em tempo de
produção para sanar os erros apresentados nesta fase e que sejam de sua competência. Se
as intervenções propostas forem para melhoria de desempenho ou compatibilização de
ambiente e permitirem agendamento deverão ser submetidas para aprovação da
CONTRATANTE antes de execução.
2.4 Os serviços gerenciados de segurança, serão executados conforme os itens 6.1 a 6.26 da
clausula 6 do Termo de Referência.
2.5 Os serviços de operação e atendimento a requisições, serão executados conforme os itens
7.1 a 7.9 da clausula 7 do Termo de Referência.
2.6 Os serviços de gestão de incidentes de segurança (CSIRT - Blue Team), serão executados
conforme os itens 8.1 a 8.23 da clausula 8 do Termo de Referência.
153
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 284
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
2.7 Os serviços de gestão de vulnerabilidades, serão executados conforme os itens 9.1 a 9.26
da clausula 9 do Termo de Referência.
2.8 Os serviços de monitoramento e visibilidade de ataques cibernéticos, serão executados
conforme os itens 10.3 e 10.4 da clausula 10 do Termo de Referência.
2.9 Os serviços de orquestração, automação e resposta de segurança (SOAR), serão executados
conforme os itens 11.3 a 11.5 da clausula 11 do Termo de Referência.
2.10 Os serviços de testes de invasão (RED TEAM), serão executados conforme os itens 12.2
a 12.16 da clausula 12 do Termo de Referência.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 285
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
•CompTIA Security+;
•Fortinet Network Security Expert 4 – NSE4;
•FortiWeb Specialist Exam;
•Certificação ITILv3 Foundation.
b) Serviço de Gestão de Incidentes de Segurança:
• CompTIA Cibersecurity Analyst (CySA+);
• Certified Ethical Hacker – CEH;
• Fortinet Network Security Expert 4 – NSE4;
• FortiWeb Specialist Exam;
• Certificação ITILv3 Foundation.
c) Serviço de Gestão de Vulnerabilidades:
• Certificação dos produtos ofertados;
• Certificação ITILv3 Foundation.
d) Serviço de Monitoramento e Visibilidade de Ataques Cibernéticos:
• Certificação dos produtos ofertados;
• Certificação ITILv3 Foundation.
e) Serviço de Automação de Processos e Fluxos de Trabalho:
• Certificação dos produtos ofertados;
• Certificação ITILv3 Foundation.
g) Serviço de Testes de Invasão:
• EC-Concil Licensed Penetration Tester – LPT ou IACRB Certified Expert
Penetration Tester – CEPT ou GIAC Exploit Researcher and Advanced Penetration
Tester – GXPN ou Offensive Security Certified Professional – OSCP;
• Certificação ITILv3 Foundation.
4.6.3 Capacitação:
a) Serviço de Operação e Atendimento a Requisições e Serviço de Gestão de Incidentes
de Segurança:
• Trend Micro Deep Security, com certificado de participação em curso oficial do
fabricante de no mínimo 16 (dezesseis) horas;
• Trend Micro OfficeScan ou Apex One, com certificado de participação em curso oficial
do fabricante de no mínimo 16 (dezesseis) horas;
4.7 A comprovação dos requisitos deverá ser composta de:
4.7.1 Documento digitalizado com apresentação documento original, cópia autenticada ou
documento digital em que seja possível comprovar a autenticidade em site do emissor.
155
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 286
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
5.1 O CONTRATANTE designará, na forma da Lei n. 8.666/1993, art. 67, um servidor com
autoridade para exercer, como seu representante, toda e qualquer ação de orientação geral,
acompanhamento e fiscalização da execução contratual.
5.2 A Subsecretaria de Segurança da Tecnologia da Informação - SUSTI acompanhará a
execução do contrato (Gestor do Contrato), devendo proceder à orientação, fiscalização e
interdição da execução do contrato, se necessário, a fim de garantir o exato cumprimento das
condições estabelecidas em contrato;
5.3 A Seção de Segurança de Rede – SESERE atuará na fiscalização (Fiscal Técnico) e
acompanhamento da execução técnica do contrato a fim de garantir o exato cumprimento das
condições estabelecidas em contrato;
5.4 O representante da Área Administrativa (Fiscal Administrativo do Contrato), indicado pela
autoridade competente dessa área, fiscalizará o contrato quanto aos aspectos administrativos,
tais como a verificação de regularidades fiscais, trabalhistas e previdenciárias para fins de
pagamento.
5.5 Também cabe ao representante da Área Administrativa, conforme definido na Instrução
Normativa CJF-INN-2016/00001, a verificação dos percentuais das rubricas, o
acompanhamento, o controle, a conferência dos cálculos efetuados, a confirmação dos valores
e da documentação apresentada e demais verificações pertinentes, bem como a autorização para
movimentar a conta-depósito vinculada – bloqueada para movimentação.
5.6 O CONTRATANTE reserva-se o direito de atuar orientando, fiscalizando e intervindo no
interesse da Administração Pública sem que, de qualquer forma, restrinja a plenitude da
responsabilidade da CONTRATADA de exercer a mais ampla e completa fiscalização sobre os
serviços, diretamente ou por preposto designado.
5.7 A existência e a atuação da fiscalização pelo CONTRATANTE em nada restringem a
responsabilidade única, integral e exclusiva da CONTRATADA, no que concerne à execução
do objeto contratado.
156
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 287
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
157
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 288
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
158
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 289
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
159
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 290
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
160
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 291
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
ll) Manter o serviço de suporte técnico das soluções ofertadas com a finalidade de
garantir a plena utilização dos produtos durante toda a vigência do contrato;
mm) Implantar as novas versões, patches, releases, e service packes relativos a esses
produtos de segurança utilizados no ambiente. Quando houver contrato de suporte técnico
com terceiro, deverá ser aberto chamado de suporte técnico para a execução coordenada
destes serviços;
nn) Auxiliar o CONTRATANTE na comunicação junto aos fabricantes dos produtos
utilizados pelo CONTRATANTE;
6.1.2 Requisitos Externos
a) Manter sigilo, sob pena de responsabilidade civil, penal e administrativa, sobre todo e
qualquer assunto de interesse do CONTRATANTE ou de terceiros de que tomar
conhecimento em razão da execução do objeto deste contrato, devendo orientar seus
profissionais nesse sentido; observar o cumprimento das normas relacionadas com a
segurança e higiene no trabalho;
b) Manter a limpeza e a conservação dos ambientes onde desempenhe seus serviços;
c) Cuidar materiais, produtos, ferramentas e equipamentos disponibilizados para a
execução dos serviços, inclusive por perdas decorrentes de roubo, furto ou outros fatos
que possam vir a ocorrer;
d) Prestar os serviços dentro dos parâmetros e rotinas estabelecidos pelo
CONTRATANTE, com observância às recomendações aceitas pela boa técnica, normas
e legislação, bem como observar conduta adequada na utilização dos materiais,
equipamentos, ferramentas e utensílios;
e) Responsabilizar-se por danos causados ao patrimônio do CONTRATANTE, ou de
terceiros, ocasionados por seus profissionais, em virtude de dolo ou culpa, durante a
execução do objeto contratado;
f) Manter durante todo o período de vigência do ajuste todas as condições, inclusive de
habilitação, que ensejaram sua contratação;
g) Prestar os serviços de forma ininterrupta, em conformidade com o demandado pelas
Ordens de Serviço;
h) Assumir todas as despesas relativas à execução dos serviços, tais como taxas,
emolumentos, encargos sociais;
i) Arcar com as despesas decorrentes de qualquer infração cometida por seus
profissionais, inclusive com as glosas previstas, quando da execução dos serviços
especificados nas Ordens de Serviço;
j) Responder por todo e qualquer dano ou prejuízo eventualmente causado ao
CONTRATANTE como consequência de atos e fatos imputáveis a seus profissionais;
k) Cumprir às suas próprias expensas todas as cláusulas contratuais que definam suas
obrigações;
l) Assinar, juntamente com seus profissionais que prestarão os serviços, a declaração
de não nepotismo, conforme modelo do Anexo IV do Termo de Referência;
161
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 292
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
162
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 293
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
8.1 Os encargos sociais trabalhistas serão contingenciados pelos percentuais abaixo, incidentes
sobre a remuneração mensal dos profissionais alocados no CONTRATANTE para execução do
contrato.
Percentuais para contingenciamento de encargos trabalhistas a serem aplicados sobre a NF
VARIAÇÃO RAT AJUSTADO 0,50% A 6,00%
Título
EMPRESAS SIMPLES
163
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 294
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Total a contingenciar
(*) A incidência recai sobre as verbas de 13º salário, férias e 1/3 constitucional, variando de acordo com
o RAT Ajustado da contratada.
(**) Caso o contrato firmado entre a empresa e o banco oficial tenha previsão de desconto da taxa de
abertura e manutenção diretamente na conta vinculada, esse valor deverá ser retido da fatura e devolvido
à conta vinculada, nos termos do inciso VIII do artigo 17 da Resolução CNJ n. 169/2013.
8.2 O contingenciamento será feito mensalmente, mediante depósito em conta-depósito
vinculada – bloqueada para movimentação -, cujo saldo será remunerado pelo índice da
poupança ou outro definido com a instituição financeira, recaindo a opção sempre pelo de maior
rentabilidade, na forma estabelecida pela Instrução Normativa CJF nº 01/2016;
8.3 As parcelas correspondentes a Férias e 13º salário serão liberadas ao longo da execução do
contrato na medida em que os eventos ocorrerem.
8.4 A CONTRATADA deverá providenciar a assinatura dos documentos relativos à abertura e
movimentação da conta-depósito vinculada (bloqueada para movimentação), em até 20 (vinte)
dias a contar da notificação do CONTRATANTE;
8.5 Eventuais despesas com abertura e manutenção da conta-depósito vinculada deverão ser
suportadas pela CONTRATADA e integrarão os custos com taxa de administração, constante
da proposta comercial da empresa;
8.6 Sempre que necessário, o gestor do contrato poderá requerer à CONTRATADA a
apresentação dos documentos comprobatórios da remuneração dos profissionais alocados na
execução deste contrato, bem como daqueles necessários à apuração do RAT ajustado;
8.7 O valor das rubricas indicadas no item 8.1, será destacado do valor mensal do contrato e
depositados em conta-depósito vinculada–bloqueada para movimentação, aberta em nome da
CONTRATADA, em banco público oficial, e deixarão de compor o valor mensal a ser pago à
CONTRATADA.
8.7.1 Os valores provisionados serão obtidos pela aplicação de percentuais e valores constantes
da proposta comercial da CONTRATADA.
8.8 Os valores provisionados só poderão ser movimentados mediante autorização do
CONTRATANTE e exclusivamente para o pagamento das rubricas vinculadas.
8.8.1 A liberação deverá obedecer ao disposto nos artigos 12, 13 e 14 da IN CJF 001/2016, no
que se refere aos procedimentos e documentos necessários à autorização de liberação.
8.9 Os saldos da conta-depósito vinculada – bloqueada para movimentação serão remunerados
diariamente pelo índice da poupança ou outro definido no Acordo de Cooperação Técnica,
sempre escolhido o de maior rentabilidade.
8.10 O saldo remanescente da conta-depósito vinculada – bloqueada para movimentação será
liberado à CONTRATADA no encerramento do contrato, após a quitação de todas as verbas
trabalhistas dos empregados.
8.11 A fim de cumprir o disposto no artigo 147 do Decreto-lei n. 5.452/1943 – Consolidação
das Leis do Trabalho – CLT (férias proporcionais), bem como o disposto no parágrafo único
do artigo 1º do Decreto n. 57.155/1965 (13º proporcional), o CONTRATANTE deverá reter
164
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 295
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
integralmente a parcela relativa a estes encargos quando a prestação de serviços for igual ou
superior a 15 (quinze) dias.
8.12 No caso em que o banco oficial promova o débito do valor das despesas com a cobrança
de abertura e de manutenção diretamente na conta-depósito vinculada - bloqueada para
movimentação, o referido montante será retido do pagamento do valor mensal devido à
CONTRATADA e depositado na conta-depósito vinculada - bloqueada, na forma estabelecida
no parágrafo único do art. 1º da Resolução CNJ n.169/2013.
8.13 Deverão ser precedidos, para o início das atividades de prestação de serviços, os seguintes
atos:
a) Solicitação pelo Tribunal ou pelo Conselho contratante ao Banco, mediante ofício, de
abertura de conta-depósito vinculada – bloqueada para movimentação -, no nome da
empresa, conforme modelo constante no termo de cooperação, devendo o banco público
oficiar ao Conselho sobre a abertura da referida conta- depósito vinculada – bloqueada
para movimentação-, na forma do modelo consignado no supracitado termo de
cooperação;
b) Assinatura, pela empresa contratada, no prazo de vinte dias, a contar da notificação da
CONTRATADA, dos documentos de abertura da conta-deposito vinculada – bloqueada
para movimentação – e de termo específico da instituição financeira oficial que permita
ao ao Conselho ter acesso ao saldos e extratos, e vincule a movimentação dos valores
depositados à autorização do Conselho, conforme modelo indicado no termo de
cooperação.
9.1 O prazo de vigência deste contrato é de 24 (vinte e quatro) meses, contados da data de
assinatura pelo CONTRATANTE, podendo ser prorrogado, por mútuo acordo entre as partes,
mediante termo aditivo, por iguais e sucessivos períodos, observado o limite máximo de 60
(sessenta) meses.
9.2 Caso ocorra a prorrogação da vigência do Contrato, observadas as disposições constantes
no art. 57, da Lei n.º 8.666/1993, a CONTRATADA deverá providenciar a devida renovação
da garantia prestada, com validade de 3 (três) meses após o término da vigência contratual,
tomando-se por base o valor atualizado do Contrato.
9.3 A prorrogação da vigência do Contrato, em exercícios subsequentes ficará condicionada à
avaliação dos serviços prestados, à comprovação da compatibilidade dos preços conforme o
mercado, à existência, em cada ano, de dotação orçamentária para suportar as despesas dele
decorrentes, bem como a manutenção das condições de habilitação.
10.1 O valor total contratado fica estimado em R$ 00,00 (extenso), referente aos lotes,
conforme especificado no Anexo II do Termo de Referência- Planilha de Preços.
10.2 Os valores estabelecidos nesta cláusula incluem todos os tributos, contribuições fiscais e
parafiscais previstos na legislação em vigor, incidentes direta ou indiretamente, bem como as
despesas de quaisquer naturezas decorrentes da execução do contrato, sendo os valores fixos e
irreajustáveis.
165
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 296
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
166
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 297
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
167
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 298
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 299
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
13.5 O CONTRATANTE, deverá efetuar a análise dos relatórios gerenciais de serviços em até
cinco dias úteis do recebimento destes. Após manifestação formal do Contratante, a
CONTRATADA deverá emitir as notas fiscais de cobrança em até 10 (dez) dias úteis da
manifestação
13.6 A nota de cobrança emitida pela CONTRATADA deverá ser atestada em até 7 (sete) dias
úteis pelo Gestor do contrato e encaminhada para a área financeira efetuar o pagamento,
acompanhada dos relatórios gerenciais de serviços e documentação comprobatória do não
atendimento dos resultados ou níveis de serviço exigidos;
13.7 Apresentada a nota fiscal de cobrança na forma aqui estabelecida, terá o CONTRATANTE
o prazo máximo de 10 (dez) dias úteis para efetuar o pagamento, contados a partir do atesto.
13.8 Deverá ser encaminhado mensalmente, em conjunto com a fatura, a seguinte
documentação que será analisada e aprovada pelo representante da área administrativa (Fiscal
Administrativo do Contrato). Os documentos comprobatórios listados nos itens abaixo são
necessários apenas para os colaboradores que prestaram serviço nas dependências do CJF por
mais de 15 (quinze) dias no mês em questão:
13.8.1 Comprovação de pagamento de salários do mês da prestação dos serviços objeto de
faturamento, mediante apresentação de folha de pagamento específica, em que conste como
tomador o Conselho da Justiça Federal, acompanhada de cópias dos recibos de depósitos
bancários ou contracheques assinados pelos profissionais;
13.8.2 Planilha formadora de custos de mão-de-obra, nos termos da IN n.05/2017 e IN
n.07/2018 do Ministério do Planejamento, Desenvolvimento e Gestão;
13.8.3 Guia de Recolhimento do Fundo de Garantia do Tempo de Serviço e Informações à
Previdência Social – GFIP específica, em que conste como tomador o CJF, relativa ao mês da
prestação de serviço;
13.8.4 Comprovante de entrega de benefícios suplementares (vale transporte, vale-alimentação
etc.), a que estiver obrigada, por força de lei ou de convenção ou acordo coletivo de trabalho;
13.8.5 Comprovação do pagamento do 13º salário, quando houver;
13.8.6 Relação mensal de prestadores referente ao mês da prestação dos serviços, na qual
constem todos os empregados que atuaram no Conselho, mesmo que transitoriamente em
substituição à mão de obra faltante, com discriminação do período de atuação;
13.8.7 Folha de pagamento do mês de referência constando todos os funcionários que prestaram
serviço no Conselho, ou contracheque individual de cada funcionário, e comprovante de
depósito nominal.
13.8.8 Guia de Recolhimento do FGTS e Informações à Previdência Social (GFIP), referente
ao mês da prestação dos serviços, individualizada por tomador (CJF);
13.8.9 Quando ocorrer demissão de pessoal, será necessário o encaminhamento dos Termos de
Rescisão de Contrato de Trabalho, integrando-se à documentação exigida para pagamento da
nota fiscal.
13.8.10 Quando exigível em Convenção Coletiva de Trabalho, os Termos de Rescisão deverão
estar homologados pelo sindicato que assiste a categoria profissional do trabalhador.
169
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 300
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
13.9 Dos valores a serem pagos à CONTRATADA, serão abatidos, na fonte, os tributos
federais, estaduais e municipais, na forma da lei.
13.9.1 Caso a CONTRATADA goze de algum benefício fiscal, deverá, juntamente com a nota
fiscal, encaminhar documentação hábil, ou, no caso de optante pelo Simples Nacional - Lei
Complementar n. 123/2006, declaração nos termos do modelo constante de instrução normativa
da Secretaria da Receita Federal.
13.10 Poderá o CONTRATANTE, após efetuar a análise das notas fiscais, realizar glosas dos
valores cobrados indevidamente.
13.11 Obedecendo a pontuação atribuída no Anexo I do Termo de Referência para cada
inadimplemento, o CONTRATANTE aplicará glosa de 1% (um por cento) sobre o valor da
nota fiscal a cada 15 pontos, limitada a glosa total ao percentual máximo de 30% (trinta por
cento) do valor mensal previsto em contrato, devendo o CONTRATANTE cientificar à
CONTRATADA sobre as razões que ensejaram o desconto;
13.12 No caso de discordância das glosas aplicadas, a CONTRATADA deverá apresentar
o recurso que será analisado pela área administrativa. Se a decisão da Administração for
favorável ao recurso da CONTRATADA, esta emitirá a nota de cobrança adicional para que
seja efetuado o pagamento referente ao valor glosado;
13.13 A impugnação à glosa, deverá ocorrer no prazo de 3 (três) dias úteis, contados da data do
recebimento da notificação.
13.14 Caso a CONTRATADA não apresente a impugnação, ou caso o CONTRATANTE não
acolha as razões da impugnação, o valor será deduzido da respectiva nota fiscal.
13.15 Para os inadimplementos que não estão previstos no Anexo I do Termo de
Referência, o CONTRATANTE abrirá processo administrativo e seguirá o rito definido nas
SANÇÕES ADMINISTRATIVAS;
13.16 Em conformidade com a Instrução Normativa CJF-INN-2016/00001 e as
Resoluções nº 169/2013 e nº 183/2013, do Conselho Nacional de Justiça (CNJ), na ocasião do
pagamento mensal, serão retidos da CONTRATADA, e transferidos para conta-depósito
bloqueada para movimentação os custos relativos às provisões de férias e adicional de férias;
ao 13º salário; à multa do FGTS por dispensa sem justa causa; à incidência dos encargos
previdenciários e FGTS sobre férias, 1/3 constitucional e 13º salário; e ao valor das despesas
com a cobrança de abertura e de manutenção da referida conta vinculada, caso necessário.
13.16.1 Os valores depositados na conta-depósito, bloqueada para movimentação, deixarão de
compor o valor mensal devido à empresa.
13.16.2 Os valores retidos da CONTRATADA, referentes às provisões com férias e abono de
férias, 13º salário, multa do FGTS, e incidência dos encargos previdenciários e FGTS sobre
férias, 1/3 constitucional e 13º salário, serão liberados somente quando da ocorrência e do
pagamento das verbas trabalhistas, com prévia autorização do CONTRATANTE, na forma
prevista na pela Instrução Normativa CJF-INN-2016/00001 e nas Resoluções CNJ nº 169/2013,
183/2013 e 248/2018.
13.17 Para fins de conformidade com a Instrução Normativa CJF-INN-2016/00001 e as
Resoluções CNJ nº 169/2013 e alterações como mão de obra residente e, portanto, suscetível à
170
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 301
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
14.1 No caso de eventual atraso no pagamento e, desde que a CONTRATADA não tenha
concorrido de alguma forma para tanto, haverá incidência de atualização monetária, sobre o
valor devido, pro rata temporis, ocorrida entre a data limite estipulada para pagamento e a da
efetiva realização.
14.1.1 para esse fim, será utilizada a variação acumulada do Índice Nacional de Preços ao
Consumidor Amplo/IPCA, calculado e divulgado pelo Instituto Brasileiro de Geografia e
Estatística/IBGE.
14.2 O mesmo critério de correção será adotado em relação à devolução dos valores recebidos
indevidamente pela CONTRATADA.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 302
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
15.1.5 MULTA MORATÓRIA de 0,5% (zero vírgula cinco por cento) sobre o valor
mensal do contrato por ocorrência em que o profissional descumprir a norma sobre o controle
de acesso, a circulação e a permanência de pessoas no Conselho da Justiça Federal, conforme
determinado na Portaria Ministro Presidente nº 34 de 02/02/2017 ou norma que vier a sucedê-
la;
15.1 .6 MULTA MORATÓRIA – de 1% (um por cento) sobre o valor mensal do contrato, a
cada ocorrência em que a CONTRATADA:
a) Substituir profissional sem formalizar à CONTRATANTE;
b) Deixar de afastar profissional que se conduza de modo inconveniente ou que não respeite as
normas do CJF ou que não atenda às necessidades, num período de 24 (vinte e quatro) horas
corridas a contar da notificação do CONTRATANTE;
c) Deixar de alocar um novo profissional em caso de substituição, num período de 5 (cinco)
dias úteis a contar da notificação do CONTRATANTE quando da substituição;
15.1.7 MULTA MORATÓRIA – de 1,5% (uma vírgula cinco por cento) sobre o valor mensal
do contrato, a cada ocorrência em que a CONTRATADA:
a) Por motivo de negligência, imprudência ou imperícia na execução das atividades
contratuais, causar qualquer dano físico ou lógico aos equipamentos da
CONTRATANTE;
b) Descumprir Política, Norma ou Procedimento de Segurança da Informação do
CONTRATANTE
c) Deixar de comunicar formalmente à CONTRATANTE sobre o desligamento de
prestador de serviço (profissional que prestava serviço nas dependências do CJF e/ ou
remotamente).
15.1.8 MULTA MORATÓRIA de 10% (dez por cento) do valor mensal do contrato pelo não
atingimento de um mesmo nível de serviço previsto no ANEXO I, do termo de referência,
durante 3 (três) meses consecutivos ou 5 (cinco) meses alternados, apurados em um período de
12 (doze meses);
15.1.9 MULTA MORATÓRIA de 20% (vinte por cento) do valor mensal do contrato pelo não
atingimento de um mesmo nível de serviço previsto no ANEXO I, do termo de referência,
durante 6 (seis) meses consecutivos ou 10 (cinco) meses não consecutivos, apurados em um
período de 12 (doze meses);
15.1 10 Os indicadores fora das metas exigidas no ANEXO I do termo de referência – Níveis
Mínimos de Serviço serão considerados como INEXECUÇÃO DOS SERVIÇOS MENSAIS
do contrato conforme a tabela abaixo, sem prejuízo da aplicação da glosa referente ao indicador
não atingido:
PORCENTAGEM ALCANÇADA DO
NÍVEL DE SERVIÇO EM RELAÇÃO TIPO DE INEXECUÇÃO DOS
A META EXIGIDA NO ANEXO I do SERVIÇOS MENSAIS
Termo de Referência
50% A 69,9% PARCIAL
0% A 49,9% TOTAL
Será aplicada:
172
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 303
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
Ocorrência Pena
173
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 304
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
174
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 305
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
16.1.2 No caso de a CONTRATADA optar pela caução em dinheiro, esta deverá ser feita na
Caixa Econômica Federal, conforme Decreto-lei n. 1.737, de 21/12/1979.
16.2 A garantia, qualquer que seja a modalidade escolhida, assegurará o pagamento de:
a) prejuízos advindos do não cumprimento do objeto do contrato;
b) prejuízos diretos causados ao CONTRATANTE, decorrentes de culpa ou dolo durante
a execução do contrato;
c) multas moratórias e punitivas aplicadas à CONTRATADA;
d) obrigações trabalhistas e previdenciárias de qualquer natureza, não adimplidas pela
CONTRATADA, quando couber;
16.2.1 Caso o valor da garantia venha a ser utilizado em pagamento de qualquer obrigação
atribuída à CONTRATADA, está se obriga a efetuar a respectiva reposição no prazo máximo
de 10 (dez) dias úteis, a contar da data do recebimento da comunicação pelo CONTRATANTE.
16.2.2 Prorrogado o prazo de vigência ou alterado o valor do contrato, fica a CONTRATADA
obrigada a renovar a garantia, no mesmo percentual e modalidades constantes desta cláusula,
em até 20 (vinte) dias úteis, contados da data de assinatura do respectivo instrumento contratual.
16.2.3 A garantia apresentada em desacordo com os requisitos e coberturas previstos neste
instrumento será devolvida à CONTRADADA, que disporá do prazo improrrogável de 10 (dez)
dias úteis para a regularização da pendência.
16.2.4 O CONTRATANTE poderá executar a garantia para ressarcimento dos valores que a
CONTRATADA passe a lhe dever em virtude da ocorrência de qualquer das situações
expressamente previstas neste contrato e na legislação pertinente, após a instauração de
procedimento administrativo específico.
16.2.5 O valor da garantia reverterá, integralmente, em favor do CONTRATANTE, ou pelo
saldo que apresentar, no caso de rescisão contratual por culpa exclusiva da CONTRATADA,
sem prejuízo das perdas e danos porventura verificados.
16.2.6 O CONTRATANTE poderá utilizar o valor da garantia prestada para descontar,
entre outros, os valores referentes a eventuais multas aplicadas à CONTRATADA, bem como
nos casos decorrentes de inadimplemento contratual, e de indenização por danos causados ao
Patrimônio da União ou de terceiros, ocorridos nas suas dependências.
16.2.7 A garantia deverá ser prestada com validade de 3 (três) meses após o término da vigência
do contrato e será liberada ou restituída ante a comprovação do adimplemento total das
obrigações contratuais, desde que não haja pendências.
16.2.8 O termo da garantia será restituído à CONTRATADA após o cumprimento integral de
todas as obrigações contratuais.
16.2.9 Na ocorrência de qualquer inadimplemento das obrigações contratadas, o
CONTRATANTE notificará a empresa seguradora da expectativa de sinistro com vistas a
resguardar a administração de possíveis prejuízos, mediante provocação da unidade gestora
responsável pelo acompanhamento da execução contratual, durante a vigência da apólice.
175
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 306
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
17.1 Este contrato poderá ser rescindido a juízo do CONTRATANTE, com base nos arts. 77 a
80 da Lei n. 8.666/1993, especialmente quando entender que a CONTRATADA não está
cumprindo de forma satisfatória as avenças estabelecidas, independentemente da aplicação das
penalidades estabelecidas.
Parágrafo único: Nos casos em que a CONTRATADA sofrer processo de fusão, cisão ou
incorporação, será admitida a continuação da contratação desde que a execução deste a
execução dos serviços não seja afetada e que a CONTRATADA mantenha o fiel cumprimento
dos termos contratuais e as condições de habilitação.
18.1 Em conformidade com o disposto na Lei n. 8.666/1993, art.61, parágrafo único, o contrato
será publicado no Diário Oficial da União, em forma de extrato.
19.1 Para dirimir quaisquer conflitos oriundos deste contrato, é competente o foro do Juízo da
Seção Judiciária do Distrito Federal, com expressa renúncia a qualquer outro, por mais
privilegiado que seja, no que se refere a qualquer ação ou medida judicial originada ou referente
ao instrumento contratual.
20.1 As partes contratantes ficarão exoneradas do cumprimento das obrigações assumidas neste
instrumento, quando ocorrerem motivos de força maior ou caso fortuito, assim definidos no
parágrafo único do art. 393 do Código Civil.
20.2 Os casos omissos serão resolvidos à luz das disposições contidas na Lei n. 8.666/1993,
bem como dos princípios de direito público.
20.3 É defeso à CONTRATADA utilizar-se deste contrato para caucionar qualquer dívida ou
títulos por ela emitidos, seja qual for a natureza.
20.4 A CONTRATADA assumirá, de forma exclusiva, todas as dívidas que venha a contrair
com vistas ao cumprimento das obrigações oriundas deste contrato, ficando certo, desde já, que
o CONTRATANTE não será responsável solidário.
20.5 A documentação necessária para pagamento, pedido de prorrogação de prazo, recursos,
defesa prévia e outros inerentes à contratação deverão ser encaminhados diretamente ao gestor
do contrato pelos e-mails: (inserir e-mail gestor, substituto e da unidade).
20.5.1 Alterações nos e-mails apresentados no item anterior, serão comunicados, por escrito,
pelo gestor, não acarretando a necessidade de alteração contratual.
E por estarem assim de pleno acordo, assinam as partes este instrumento, na forma eletrônica,
para todos os fins de direito.
176
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 307
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
SIGNATÁRIO CONTRATADA
177
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 308
PODER JUDICIÁRIO
CONSELHO DA JUSTIÇA FEDERAL
178
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 309
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 310
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Às 10:08 horas do dia 05 de fevereiro de 2020, reuniram-se o Pregoeiro Oficial deste Órgão e respectivos membros da
Equipe de Apoio, designados pelo instrumento legal 607 de 08/11/2019, em atendimento às disposições contidas na Lei nº
10.520 de 17 de julho de 2002 e no Decreto nº 10.024 de 20 de setembro de 2019, referente ao Processo nº sei 1989-
89.19, para realizar os procedimentos relativos ao Pregão nº 00001/2020. Modo de disputa: Aberto. Objeto: Objeto: Pregão
Eletrônico - Serviços Gerenciados de Segurança da Informação para atender ao Conselho da Justiça Federal CJF.. O Pregoeiro
abriu a Sessão Pública em atendimento às disposições contidas no edital, divulgando as propostas recebidas. Abriu-se em
seguida a fase de lances para classificação dos licitantes relativamente aos lances ofertados.
Item: 1 - GRUPO 1
Descrição: Sustentação de Software
Descrição Complementar: Serviço de Operação e Atendimento à Requisições
Tratamento Diferenciado: -
Quantidade: 24 Unidade de fornecimento: Unidade
Valor Estimado: R$ 67.125,8900 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 56.520,0000 e a quantidade de 24 Unidade .
Item: 2 - GRUPO 1
Descrição: Sustentação de Software
Descrição Complementar: Serviço de gestão de incidentes de segurança (CSIRT - Blue Team)
Tratamento Diferenciado: -
Quantidade: 24 Unidade de fornecimento: Unidade
Valor Estimado: R$ 26.200,4100 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 18.443,6500 e a quantidade de 24 Unidade .
Item: 3 - GRUPO 1
Descrição: Sustentação de Software
Descrição Complementar: Serviço de Gestão De Vulnerabilidades.
Tratamento Diferenciado: -
Quantidade: 24 Unidade de fornecimento: Unidade
Valor Estimado: R$ 19.994,0900 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 17.040,6500 e a quantidade de 24 Unidade .
Item: 4 - GRUPO 1
Descrição: Sustentação de Software
Descrição Complementar: Serviço de Monitoramento e Visibilidade de Ataques Cibernéticos
Tratamento Diferenciado: -
Quantidade: 24 Unidade de fornecimento: Unidade
Valor Estimado: R$ 45.784,6900 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 26.217,3400 e a quantidade de 24 Unidade .
Item: 5 - GRUPO 1
Descrição: Sustentação de Software
Descrição Complementar: Serviço de Orquestração, Automação e Resposta de Segurança (SOAR)
Tratamento Diferenciado: -
Quantidade: 24 Unidade de fornecimento: Unidade
Valor Estimado: R$ 24.921,4200 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 24.670,0000 e a quantidade de 24 Unidade .
Item: 6 - GRUPO 1
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 1/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 311
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Descrição: Sustentação de Software
Descrição Complementar: Serviço de Testes de Invasão (Red Team)
Tratamento Diferenciado: -
Quantidade: 15 Unidade de fornecimento: Unidade
Valor Estimado: R$ 14.703,6700 Situação: Aceito e Habilitado
Intervalo mínimo entre lances: 1,00 %
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 11.508,4000 e a quantidade de 15 Unidade .
Relação de Grupos
GRUPO 1
Tratamento Diferenciado: -
Aplicabilidade Margem de Preferência: Não
Critério de Valor: R$ 4.637.191,0500 Situação: Aceito e Habilitado com intenção de recurso
Aceito para: ISH TECNOLOGIA S/A, pelo melhor lance de R$ 3.602.025,3600 .
Itens do grupo:
1 - Sustentação de Software
2 - Sustentação de Software
3 - Sustentação de Software
4 - Sustentação de Software
5 - Sustentação de Software
6 - Sustentação de Software
Histórico
Item: 1 - GRUPO 1 - Sustentação de Software
Propostas Participaram deste item as empresas abaixo relacionadas, com suas respectivas propostas.
(As propostas com * na frente foram desclassificadas)
Porte Declaração Data/Hora
CNPJ/CPF Fornecedor Quantidade Valor Unit. Valor Global
ME/EPP ME/EPP/COOP Registro
15.690.857/0002-39 APURA Não Não 24 R$ 61.125,8900 R$ 1.467.021,3600 04/02/2020
COMERCIO 20:11:43
DE
SOFTWARES
E
ASSESSORIA
EM
TECNOLOGIA
Descrição Detalhada do Objeto Ofertado: Serviço de Operação e Atendimento à Requisições
01.707.536/0001-04 ISH Não Não 24 R$ 67.124,0000 R$ 1.610.976,0000 05/02/2020
TECNOLOGIA 00:23:34
S/A
Descrição Detalhada do Objeto Ofertado: Serviço de Operação e Atendimento à Requisições
03.017.428/0001-35 NCT Não Não 24 R$ 67.125,8900 R$ 1.611.021,3600 05/02/2020
INFORMATICA 09:04:36
LTDA
Descrição Detalhada do Objeto Ofertado: Serviço de Operação e Atendimento a Requisições, operar todas as
soluções e produtos de segurança do CJF, bem como a realização permanente de ações proativas (gap analysis)
voltadas para a segurança do parque computacional do CJF com o objetivo de mantê-lo estável, disponível e
integro, conforme proposta de preços anexa a esse termo.
03.970.788/0001-57 CIPHER S.A. Não Não 24 R$ 94.524,1200 R$ 2.268.578,8800 05/02/2020
00:18:48
Descrição Detalhada do Objeto Ofertado: Serviço de Operação e Atendimento à Requisições
Eventos do Item
Evento Data Observações
11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
Recusa
15:37:46 melhor lance de R$ 50.000,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 60.000,0000. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 56.520,0000.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
Eventos do Item
Evento Data Observações
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 3/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 313
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Recusa 11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
15:37:46 melhor lance de R$ 18.000,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 26.200,4100. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 18.443,6500.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
Eventos do Item
Evento Data Observações
11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
Recusa
15:37:46 melhor lance de R$ 15.500,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 18.959,0000. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 17.040,6500.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 4/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 314
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Para consultar intenção de recurso do item, verificar histórico do GRUPO 1.
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 5/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 315
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
R$ 25.500,0000 15.690.857/0002-39 05/02/2020 10:36:05:783
R$ 29.000,0000 01.707.536/0001-04 05/02/2020 10:36:42:377
R$ 28.602,7000 01.707.536/0001-04 05/02/2020 10:37:00:153
R$ 28.264,8500 01.707.536/0001-04 05/02/2020 10:38:13:983
R$ 40.000,0000 03.017.428/0001-35 05/02/2020 10:38:32:383
R$ 27.957,8300 01.707.536/0001-04 05/02/2020 10:39:09:187
R$ 27.206,1300 01.707.536/0001-04 05/02/2020 10:39:56:913
R$ 24.500,0000 15.690.857/0002-39 05/02/2020 10:40:13:133
R$ 26.900,0000 01.707.536/0001-04 05/02/2020 10:40:52:987
R$ 23.500,0000 15.690.857/0002-39 05/02/2020 10:41:03:467
R$ 26.217,3400 01.707.536/0001-04 05/02/2020 10:41:07:367
R$ 22.500,0000 15.690.857/0002-39 05/02/2020 10:42:51:357
R$ 38.000,0000 03.017.428/0001-35 05/02/2020 10:44:13:517
R$ 21.000,0000 15.690.857/0002-39 05/02/2020 10:44:38:957
R$ 20.000,0000 15.690.857/0002-39 05/02/2020 10:46:06:940
R$ 35.000,0000 03.017.428/0001-35 05/02/2020 10:47:25:247
R$ 19.000,0000 15.690.857/0002-39 05/02/2020 10:47:42:607
R$ 18.000,0000 15.690.857/0002-39 05/02/2020 10:47:56:820
R$ 32.000,0000 03.017.428/0001-35 05/02/2020 10:49:15:183
R$ 17.000,0000 15.690.857/0002-39 05/02/2020 10:49:37:380
R$ 16.000,0000 15.690.857/0002-39 05/02/2020 10:52:22:980
R$ 30.000,0000 03.017.428/0001-35 05/02/2020 10:52:57:093
Eventos do Item
Evento Data Observações
11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
Recusa
15:37:46 melhor lance de R$ 30.000,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 16.000,0000. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 26.217,3400.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 6/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 316
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
00:18:48
Descrição Detalhada do Objeto Ofertado: Serviço de Orquestração, Automação e Resposta de Segurança
(SOAR)
Eventos do Item
Evento Data Observações
11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
Recusa
15:37:46 melhor lance de R$ 17.500,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 8.000,0000. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 24.670,0000.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
Eventos do Item
Evento Data Observações
11/02/2020 Recusa da proposta. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, pelo
Recusa
15:37:46 melhor lance de R$ 10.000,0000. Motivo: Por não atender requisitos técnicos exigidos em edital
Recusa da proposta. Fornecedor: APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA,
11/02/2020
Recusa CNPJ/CPF: 15.690.857/0002-39, pelo melhor lance de R$ 14.703,6700. Motivo: Por não apresentar
15:59:32
documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do Decreto 10.024/2019
14/02/2020 Aceite individual da proposta. Fornecedor: ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, pelo
Aceite
15:28:01 melhor lance de R$ 11.508,4000.
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF: 01.707.536/0001-
Habilitado
15:29:06 04
HISTÓRICO DO GRUPO 1
Propostas Participaram deste grupo as empresas abaixo relacionadas, com suas respectivas propostas.
(As propostas com * na frente foram desclassificadas)
Porte Declaração Data/Hora
CNPJ/CPF Fornecedor Quantidade Valor Global
ME/EPP ME/EPP/COOP Registro
15.690.857/0002-39 APURA COMERCIO DE Não Não - R$ 4.493.191,0500 04/02/2020
SOFTWARES E ASSESSORIA 20:11:43
EM TECNOLOGIA
01.707.536/0001-04 ISH TECNOLOGIA S/A Não Não - R$ 4.631.556,0000 05/02/2020
00:23:34
03.017.428/0001-35 NCT INFORMATICA LTDA Não Não - R$ 4.637.191,0500 05/02/2020
09:04:36
03.970.788/0001-57 CIPHER S.A. Não Não - R$ 8.487.715,8000 05/02/2020
00:18:48
Eventos do Grupo
Evento Data Observações
05/02/2020
Aberto Item Aberto.
10:16:33
05/02/2020
Encerrado Item encerrado.
10:54:57
Abertura do
prazo de 05/02/2020 Convocado para envio de anexo o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
Convocação - 11:28:28 03.017.428/0001-35.
Anexo
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 8/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 318
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Encerramento 05/02/2020 Encerrado o prazo de Convocação de Anexo pelo fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
do prazo de 12:30:59 03.017.428/0001-35.
Convocação -
Anexo
Abertura do
prazo de 07/02/2020 Convocado para envio de anexo o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
Convocação - 14:03:36 03.017.428/0001-35.
Anexo
Encerramento
do prazo de 07/02/2020 Encerrado o prazo de Convocação de Anexo pelo fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
Convocação - 14:10:33 03.017.428/0001-35.
Anexo
Abertura do
prazo de 07/02/2020 Convocado para envio de anexo o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
Convocação - 18:19:03 03.017.428/0001-35.
Anexo
Encerramento
do prazo de 10/02/2020 Encerrado o prazo de Convocação de Anexo pelo fornecedor NCT INFORMATICA LTDA, CNPJ/CPF:
Convocação - 12:38:25 03.017.428/0001-35.
Anexo
Abertura do
prazo de 11/02/2020 Convocado para envio de anexo o fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-
Convocação - 16:04:29 04.
Anexo
Encerramento
do prazo de 11/02/2020 Encerrado o prazo de Convocação de Anexo pelo fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF:
Convocação - 17:22:36 01.707.536/0001-04.
Anexo
Abertura do
prazo de 12/02/2020 Convocado para envio de anexo o fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-
Convocação - 16:05:32 04.
Anexo
Encerramento
do prazo de 13/02/2020 Encerrado o prazo de Convocação de Anexo pelo fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF:
Convocação - 12:31:22 01.707.536/0001-04.
Anexo
14/02/2020 Habilitação em grupo de propostas. Fornecedor: ISH TECNOLOGIA S/A - CNPJ/CPF:
Habilitado
15:29:06 01.707.536/0001-04
Registro de Intenção de Recurso. Fornecedor: NCT INFORMATICA LTDA CNPJ/CPF:
Registro
14/02/2020 03017428000135. Motivo: Manifestamos intenção de interposição de recurso contra a
Intenção de
15:32:07 desclassificação da empresa NCT e declaração de vitória da licitante ISH. Conforme será exposto
Recurso
nas razões de recurso, a inabilitação da NCT s
Intenção de 14/02/2020 Intenção de recurso aceita. Fornecedor: NCT INFORMATICA LTDA, CNPJ/CPF: 03017428000135.
Recurso Aceita 16:11:11 Motivo: Por atender os requisitos de admissibilidade
Troca de Mensagens
Data Mensagem
Pregoeiro 05/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se aberta, pregoeiro
10:08:56 Márcio Gomes
Pregoeiro 05/02/2020 O item G1 foi aberto. Solicitamos o envio de lances.
10:16:33
Pregoeiro 05/02/2020 Senhores fornecedores, solicito observar a exequibilidade das propostas
10:49:36
Sistema 05/02/2020 O item G1 está encerrado.
10:54:57
Sistema 05/02/2020 Todos os itens estão encerrados. Será iniciada a etapa de Julgamento de Propostas.
10:54:57 Favor acompanhar através da funcionalidade "Acompanhar
julgamento/habilitação/admissibilidade".
Pregoeiro 05/02/2020 Para NCT INFORMATICA LTDA - Caro fornecedor, solicito o envio da proposta atualizada
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 9/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 319
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
11:28:13 de acordo com o valor oferecido, em planilha de Excel, Ressaltando que de acordo com o
edital, Item VI - Da Proposta Eletrônica de Preços, subitem 4.1.2 que valores maiores ou
menores do previsto na nossa nota técnica deverá ser justificado, até as 14h de hoje.
obrigado.
Sistema 05/02/2020 Senhor fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, solicito o
11:28:28 envio do anexo referente ao grupo G1.
03.017.428/0001- 05/02/2020 Bom dia
35 11:29:02
03.017.428/0001- 05/02/2020 Encaminharemos conforme solicitado
35 11:31:56
Pregoeiro 05/02/2020 ok, obrigado
11:34:48
Sistema 05/02/2020 Senhor Pregoeiro, o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-
12:30:59 35, enviou o anexo para o grupo G1.
Pregoeiro 05/02/2020 Boa tarde
14:01:44
Pregoeiro 05/02/2020 Informo que estamos analisando a proposta e demais documentos, junto com a área
14:19:29 técnica
Pregoeiro 05/02/2020 Informo que foi feito pedido de diligência a empresa NCT e que a sessão será suspensa e
16:44:17 reaberta amanha, 06/02/2020, às 14 horas
Pregoeiro 06/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se reaberta pregoeiro
14:03:20 Márcio Gomes
Pregoeiro 06/02/2020 Informo que o pedido de diligência se resume em: comprovação do RAT ajustado
14:53:05 Comprovante de recolhimento do Incra Ajuste no vale transporte Verificação da alíquota
do ISS e do substituto de férias maiores detalhes em relação aos atestados técnicos
Pregoeiro 06/02/2020 Informo que a empresa NCT enviou, via e-mail, resposta ao pedido de diligência e
14:54:40 estamos analisado.
Pregoeiro 06/02/2020 Para NCT INFORMATICA LTDA - Informo que para o Serviço de Operação e Atendimento a
16:44:57 Requisições há a possibilidade de horas extras, mas não consta tal previsão na planilha
de custos.
Pregoeiro 06/02/2020 Para NCT INFORMATICA LTDA - Em análise dos documentos de habilitação apresentados
16:47:56 pela empresa NCT, foi verificado pela equipe de planejamento da contratação, que nas
planilhas de composição do salário apresentadas pela empresa licitante, levando em
consideração os quantitativos dos serviços, a qualificação exigida, bem como os salários
praticados no mercado de trabalho local,
Pregoeiro 06/02/2020 Para NCT INFORMATICA LTDA - observa-se que tais valores encontram-se em desacordo
16:49:13 com a média salarial do mercado. Dessa forma, solicito demonstração comprobatória de
que já tenha contratado ou tenha condições reais de contratar, pelos valores propostos,
profissionais com QUALIFICAÇÃO IGUAL OU SUPERIOR À EXIGIDA NO ITEM 13 _ PERFIS
DOS PROFISSIONAIS, DO TERMO DE REFERÊNCIA
03.017.428/0001- 06/02/2020 Boa tarde
35 16:53:42
03.017.428/0001- 06/02/2020 Qual prazo para envio da comprovação solicitada?
35 16:55:12
Pregoeiro 06/02/2020 Para NCT INFORMATICA LTDA - Qual seria o tempo necessário?
16:56:13
03.017.428/0001- 06/02/2020 Em razão do término do expediente da área de RH, solicitamos até amanhã 11h.
35 17:04:54 Agradecemos.
Pregoeiro 06/02/2020 Para NCT INFORMATICA LTDA - Prazo concedido até as 13h30 do dia 07/02
17:07:37
Pregoeiro 06/02/2020 Informo que a sessão será suspensa e reaberta amanha, 07/02/2020, às 14h.
17:08:15
Pregoeiro 07/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se reaberta, pregoeiro
14:03:04 Márcio Gomes
Sistema 07/02/2020 Senhor fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, solicito o
14:03:36 envio do anexo referente ao grupo G1.
Sistema 07/02/2020 Senhor Pregoeiro, o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-
14:10:33 35, enviou o anexo para o grupo G1.
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - segue pedido de diligência por parte da área técnica:
14:45:11 "Solicito que a licitante apresente comprovação que os componentes da ofertada para o
Serviço de Gestão de Vulnerabilidades, incluindo gerência, atende ao item 9.15 do Termo
de Referência: "As soluções de prestação dos Serviços de Gestão de Vulnerabilidades
deverão serem instaladas no CONTRATANTE, ...
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - ... de modo a prover varredura, identificação e gestão de
14:45:28 vulnerabilidades do parque computacional do CONTRATANTE."
03.017.428/0001- 07/02/2020 Boa tarde.
35 14:48:47
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - e mais um pedido de diligência por parte da área técnica:
14:50:56 Com relação à resposta sobre a diligência 5, que trata sobre o item 10.3.48 do Termo de
Referência, foram enviados alguns links referenciando documentação do fabricante,
sendo que: ...
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 10/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 320
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - 1. Em vários documentos do fabricante consta a seguinte
14:51:10 informação: "This functionality is experimental and may be changed or removed
completely in a future release. Elastic will take a best effort approach to fix any issues,
but experimental features are not subject to the support SLA of official GA features".
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - Evidenciando que trata-se funcionalidade experimental e
14:51:24 em desenvolvimento, que pode haver descontinuidade a qualquer momento. Além de
não possuir nível de serviço para atendimento (SLA) do fabricante nem desenvolvimento
de novas funcionalidades.
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - 2. Não foi encontrado de forma inequívoca a informação
14:51:37 de que o produto é capaz de realizar o correlacionamento de eventos complexos
(conceito em inglês "Complex Event Processing - CEP), conforme é exigido pelo item
10.3.48 do EDITAL PE N.1/2020.
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - 3. Observou-se que o produto faz Machine Learning para
14:51:49 a análise preditiva de eventos e padrões, não inteligência artificial.
03.017.428/0001- 07/02/2020 Sr pregoeiro, mais alguma consideração?
35 14:55:23
03.017.428/0001- 07/02/2020 E dentro do apresentado, qual o prazo para entrega das respostas?
35 14:56:10
03.017.428/0001- 07/02/2020 Aguardamos.
35 15:04:29
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - a principio somente estas
15:12:20
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - Quanto tempo necessário?
15:12:50
03.017.428/0001- 07/02/2020 Em razão da demanda técnica, até às 13h do próximo dia útil. Agradecemos.
35 15:15:04
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - ok
15:38:49
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - Em análise a resposta da diligência feita aos documentos
18:06:05 de habilitação apresentados, foi verificado pela equipe de planejamento da contratação,
que nas planilhas de composição do salário apresentadas pela empresa licitante, levando
em consideração: os quantitativos dos serviços, a qualificação exigida, ...
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - em edital e com o salário proposto pela empresa na
18:07:20 PLANILHA DE CUSTOS. Tal solicitação está exigida nos seguintes itens do edital 4.3 e 9
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - 4.3 Caso sejam apresentadas propostas de preços
18:08:40 consideradas inexequíveis, levando-se em conta os quantitativos dos serviços, a
qualificação exigida, bem como os salários praticados no mercado de trabalho local, o
CJF poderá realizar diligências junto à licitante, consultando a planilha de formação de
preços, para verificar a capacidade ...
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - de cumprir com a proposta de prestação de serviços
18:09:04 apresentada.
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - 9 Os preços deverão ser finais, acrescidos de todas as
18:09:20 despesas e conter somente duas casas decimais, não sendo admitidos valores
simbólicos, irrisórios ou de valor zero, incompatíveis com os preços dos insumos e
salários de mercado, acrescidos dos respectivos encargos, conforme definido no §3º do
art. 44 da Lei n. 8.666/93
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - Para fins da demonstração comprobatória exigida,
18:10:18 solicitamos a apresentação de cópias da carteira de trabalho (CTPS), do contrato de
trabalho ou instrumento similar, de profissionais que já prestaram serviços equivalentes
para a licitante mediante salário igual ou inferior ao de sua proposta; ...
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - ou, ainda, declarações de profissionais que se
18:10:33 comprometam a prestar os serviços objeto desta contratação, mediante o salário
constante da proposta da licitante. ESSES PROFISSIONAIS DEVERÃO ATENDER AOS
REQUISITOS DE QUALIFICAÇÃO ESTIPULADOS NO ITEM 13 DO TERMO DE REFERÊNCIA
– PERFIS DOS PROFISSIONAIS.
03.017.428/0001- 07/02/2020 Boa noite.
35 18:12:51
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - NCT, segue mais esta diligência, por favor responder no
18:13:41 prazo já concedido, 10/02/2020
03.017.428/0001- 07/02/2020 Procederemos conforme solicitado.
35 18:16:55
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - ok
18:18:07
Pregoeiro 07/02/2020 Para NCT INFORMATICA LTDA - Informo que a sessão será suspensa e reaberta na
18:18:52 segunda-feira, 10/02/2020, às 14h
Sistema 07/02/2020 Senhor fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-35, solicito o
18:19:03 envio do anexo referente ao grupo G1.
Sistema 10/02/2020 Senhor Pregoeiro, o fornecedor NCT INFORMATICA LTDA, CNPJ/CPF: 03.017.428/0001-
12:38:25 35, enviou o anexo para o grupo G1.
Pregoeiro 10/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se reaberta, pregoeiro
14:01:48 Márcio Gomes
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 11/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 321
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Pregoeiro 10/02/2020 Informo que os documentos recebidos por parte da NCT estão sendo analisados
14:59:57
Pregoeiro 10/02/2020 Informo que devido ao horário, a sessão será suspensa e reaberta amanha, 11/02/2020,
18:04:40 às 15h
Pregoeiro 11/02/2020 Boa tarde senhores fornecedores informo que a sessão encontra-se reaberta, pregoeiro
15:02:54 Márcio Gomes
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - Caro fornecedor, após análise criteriosa pela área técnica
15:16:30 foi verificado que esta empresa não atendeu o requisito de qualificação técnica, subitem
m.3 do Edital: Experiência na prestação de serviços de administração de solução de
antimalware para ambiente de datacenter utilizando plataforma de virtualização de rede
VMware NSX com, no mínimo, 200 (duzentos)
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - servidores de rede.
15:17:10
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - A atestado apresentado por esta empresa é relativo à
15:18:09 virtualização de servidores, o que não guarda similaridade com o requisito exigido pelo
do edital, a saber, administração de solução de segurança para data center utilizando
plataforma de virtualização de rede
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - Cabe salientar que à época da emissão dos atestados
15:18:28 apresentados, o produto de virtualização de rede sequer existia.
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - Desta forma, a proposta será recusada
15:19:05
03.017.428/0001- 11/02/2020 Boa tarde.
35 15:19:05
03.017.428/0001- 11/02/2020 Prezado Pregoeiro, não concordamos com a recusa, oportunidade em que
35 15:25:25 apresentaremos nossos argumentos em petição.
Pregoeiro 11/02/2020 Para NCT INFORMATICA LTDA - ok, obrigado pela atenção
15:29:54
Pregoeiro 11/02/2020 Informo que a empresa NCT teve sua proposta recusada, por não atender requisitos
15:39:28 técnicos, já informados no chat
Pregoeiro 11/02/2020 Para APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA - Caro
15:44:42 fornecedor, em análise a sua proposta de preços, não localizei a planilha de preços,
Anexo II do Termo de Referência
15.690.857/0002- 11/02/2020 Prezado Sr. pregoeiro, boa tarde.
39 15:46:11
15.690.857/0002- 11/02/2020 Solicitamos prazo para encaminhamento da proposta reajustada aos valores finais do
39 15:49:32 pregão, com respectiva planilha de preços.
Pregoeiro 11/02/2020 Para APURA COMERCIO DE SOFTWARES E ASSESSORIA EM TECNOLOGIA - Infelizmente
15:56:10 não será possível, pois de acordo com o art. 26 do Decreto 10.024/2019 os documentos
de habilitação exigidos em edital serão encaminhados concomitante com a proposta
(observar item VI da proposta eletrônica de preço e dos documentos de habilitação, do
edital)
Pregoeiro 11/02/2020 Informo que a empresa Apura teve sua proposta recusada por não apresentar
16:00:36 documentos de habilitação, juntamente com proposta, de acordo com o art. 26 do
Decreto 10.024/2019
Sistema 11/02/2020 Senhor fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, solicito o
16:04:29 envio do anexo referente ao grupo G1.
Pregoeiro 11/02/2020 Para ISH TECNOLOGIA S/A - Caro fornecedor, solicito o envio da proposta atualizada, de
16:06:01 acordo com o valor oferecido na fase de lances, e planilha de preços, em Excel, por favor,
no prazo de até duas horas
01.707.536/0001- 11/02/2020 Sr. Pregoeiro, boa tarde. Enviaremos no prazo solicitado.
04 16:52:00
Pregoeiro 11/02/2020 Para ISH TECNOLOGIA S/A - ok, obrigado
17:02:07
Sistema 11/02/2020 Senhor Pregoeiro, o fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04,
17:22:36 enviou o anexo para o grupo G1.
Pregoeiro 11/02/2020 Informo que devido ao horário, a sessão será suspensa e reaberta amanha, 12/02/2020,
17:46:16 às 14h
Pregoeiro 12/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se reaberta, pregoeiro
14:00:42 Márcio Gomes
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Caro fornecedor postarei aqui alguns pedidos de
15:11:48 esclarecimentos: Que seja apresentada a topologia proposta para a prestação do Serviço
de Operação e Atendimento à Requisições envolvendo os produtos ServiceNOW ITSM +
SECOPS, considerando que o CJF já utiliza o ITSM da ServiceNOW
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Que seja apresentada a topologia proposta para a prestação
15:12:01 do Serviço de Gestão de Vulnerabilidades envolvendo os produtos Tenable Nexus pro,
Acunetix, e RSA Archer VM
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Que seja apresentada a topologia proposta para a prestação
15:12:11 do Serviço de Análise de Comportamento de Usuário (UBA) envolvendo os produtos RSA
UEBA Essentials + Analytics
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Que a licitante detalhe quais módulos ou modelos de
15:12:28 licenciamento dos produtos ServiceNOW ITSM + SECOPS, RSA ACHER ISSUE, Tanable
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 12/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 322
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Nexus pro, Acunetix, RSA Archer VM, RSA Netwtiness Logs, RSA UEBA Essentials +
Analytics, RSA Netwitness Packets, RSA Netwitness Orchestrator estão sendo ofertados
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Solicito que a licitante apresente comprovação que os
15:13:20 componentes da ofertada para o Serviço de Gestão de Vulnerabilidades, incluindo
gerência, atende ao item 9.15 do Termo de Referência: "As soluções de prestação dos
Serviços de Gestão de Vulnerabilidades deverão serem instaladas no CONTRATANTE, de
modo a prover varredura, identificação e gestão ...
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - ... de vulnerabilidades do parque computacional do
15:13:47 CONTRATANTE
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Que seja apresentada comprovação que a solução ofertada
15:15:04 para o Serviço de Visibilidade de Logs, Fluxos e Informações é capaz de atender ao item
10.3.48 do Termo de Referência: "A solução deve possuir a capacidade de análise
avançada de eventos em tempo real através de regras de correlacionamento e eventos
complexos em dados correlacionados através da ...
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - linguagem EPL (Event Processing Language) ou inteligência
15:15:22 artificial
Pregoeiro 12/02/2020 Não há previsão de vale transporte?
15:19:42
Pregoeiro 12/02/2020 Qual foi a base para cálculo do auxílio-refeição, assistência médica e odontológica?
15:20:40
Pregoeiro 12/02/2020 Enviar o comprovante do RAT ajustado e do recolhimento do INCRA
15:21:59
Pregoeiro 12/02/2020 Envio de comprovante de tributação do lucro presumido
15:22:58
Pregoeiro 12/02/2020 no Submódulo 4.1, alínea A substituto na cobertura de férias o nosso percentual é 0,69
15:23:14
Pregoeiro 12/02/2020 em relação ao ISS, por favor observar a Lei Complementar n. 963, de 03/01/2020, do
15:45:01 GDF, com a alíquota de 2%
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - Os questionamentos postados foram para a ISH,
15:45:38
01.707.536/0001- 12/02/2020 Sr. Pregoeiro, Boa tarde, Confirmo o recebimento dos questionamentos. Solicitamos um
04 15:48:01 prazo até amanha, dia 13/02/2020 às 18:00h para resposta.
Pregoeiro 12/02/2020 Para ISH TECNOLOGIA S/A - solicito o envio dos esclarecimentos e/ou documentos até
15:49:30 amanha, 13/02, às 15h
01.707.536/0001- 12/02/2020 ok
04 15:52:56
Pregoeiro 12/02/2020 Informo que a sessão será suspensa e reaberta amanha, 13/02/2020, às 15h
16:05:10
Sistema 12/02/2020 Senhor fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04, solicito o
16:05:32 envio do anexo referente ao grupo G1.
Sistema 13/02/2020 Senhor Pregoeiro, o fornecedor ISH TECNOLOGIA S/A, CNPJ/CPF: 01.707.536/0001-04,
12:31:22 enviou o anexo para o grupo G1.
Pregoeiro 13/02/2020 Senhores fornecedores, informo que a sessão encontra-se reaberta, pregoeiro Márcio
15:05:32 Gomes
Pregoeiro 13/02/2020 Devido ao horário, informo que a sessão será suspensa e reaberta amanha, 14/02/2020,
18:49:54 às 14h
Pregoeiro 14/02/2020 Boa tarde senhores fornecedores, informo que a sessão encontra-se reaberta, pregoeiro
14:03:57 Márcio Gomes
Pregoeiro 14/02/2020 Para ISH TECNOLOGIA S/A - Caro fornecedor, solicito verificar e informar a possibilidade
14:34:51 de redução no valor da proposta, obrigado
01.707.536/0001- 14/02/2020 Sr. Pregoeiro, Infelizmente não temos possibilidade de redução do valor.
04 14:36:42
Pregoeiro 14/02/2020 Para ISH TECNOLOGIA S/A - ok
15:17:00
Sistema 14/02/2020 Srs. Fornecedores, está aberto o prazo para registro de intenção de recursos para os
15:29:06 itens/grupos na situação de ´aceito e habilitado´ ou ´cancelado no julgamento´.
Pregoeiro 14/02/2020 Foi informado o prazo final para registro de intenção de recursos: 14/02/2020 às
15:29:49 16:05:00.
Eventos do Pregão
Evento Data/Hora Observações
Alteração de
03/02/2020 Pregoeiro Anterior: 42794633368-ANTONIO ANTUNES DE OLIVEIRA . Pregoeiro Atual:
Pregoeiro/Equipe
17:12:49 41767659172-MARCIO GOMES DA SILVA . Justificativa: retorno de férias
de Apoio
Alteração de
07/02/2020 Pregoeiro Anterior: 41767659172-MARCIO GOMES DA SILVA . Pregoeiro Atual: 42794633368-
Pregoeiro/Equipe
13:22:15 ANTONIO ANTUNES DE OLIVEIRA . Justificativa: Necessidade de acesso.
de Apoio
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 13/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 323
25/09/2020 COMPRASNET - O SITE DE COMPRAS DO GOVERNO
Alteração de 07/02/2020 Pregoeiro Anterior: 42794633368-ANTONIO ANTUNES DE OLIVEIRA . Pregoeiro Atual:
Pregoeiro/Equipe 13:24:30 41767659172-MARCIO GOMES DA SILVA . Justificativa: Pregoeiro titular da licitação retornou.
de Apoio
14/02/2020
Abertura de Prazo Abertura de prazo para intenção de recurso
15:29:06
Informado
14/02/2020
Fechamento de Fechamento de prazo para registro de intenção de recurso: 14/02/2020 às 16:05:00.
15:29:49
Prazo
Após encerramento da Sessão Pública, os licitantes melhores classificados foram declarados vencedores dos respectivos itens. Foi
divulgado o resultado da Sessão Pública e foi concedido o prazo recursal conforme preconiza o artigo 45, do Decreto 10.024 de
20 de setembro de 2019. Nada mais havendo a declarar, foi encerrada a sessão às 16:32 horas do dia 14 de fevereiro de 2020,
cuja ata foi lavrada e assinada pelo Pregoeiro e Equipe de Apoio.
Voltar
comprasnet.gov.br/acesso.asp?url=/livre/pregao/ata0.asp 14/14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 324
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 325
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 326
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 327
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 328
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 329
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 330
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 331
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 332
1
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 333
Ministro de Estado da Justiça e Segurança Pública
André Luiz de Almeida Mendonça
Secretário-Executivo
Tercio Issami Tokano
Secretário-Executivo Adjunto
Washington Leonardo Guanaes Bonini
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 334
André Lartigau Wainer
Ana Clara Formiga Ferreira do Carmo
Eduardo de Araújo Nepomuceno
Isabela Maiolino
Bárbara Verônica Dias Mágero Viana
Helena Melo Moura
Miguel Lodi Carvalho
Clayton Rodrigues da Silva
Flávio Soares da Silva
Rafael Rodrigues de Sousa
Rafael Mota Brito
Robinson Lemos
Tiago Nunes Batista
Ivan Fonseca Filho
Débora Ribeiro Lopes
Marcelo Stelmacki
Maximiliano Martins de Faria
Felipe Pires Almeida de Miranda
Colaboradores
Roberto Santos Mendes
Leonardo Bueno de Melo
Gustavo Henrique Moreira Alvares da Silva
Leonardo Garcia Greco
Luís Spricigo Júnior
Aprovadores
Comitê de Governança de Tecnologia da Informação e
Comunicação – CTIC
Comitê de Governança Estratégica – CGE
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 335
SUMÁRIO
APRESENTAÇÃO ....................................................................... 7
METODOLOGIA ......................................................................... 9
REFERÊNCIAS ......................................................................... 11
ORGANIZAÇÃO DA ÁREA DE TIC ............................................. 13
RESULTADO DO PDTIC ANTERIOR .......................................... 16
REFERENCIAL ESTRATÉGICO .................................................. 24
INVENTÁRIO DAS NECESSIDADES DE TIC .............................. 26
CRITÉRIOS DE PRIORIZAÇÃO ................................................. 53
PLANO DE METAS E AÇÕES ..................................................... 55
PLANO DE GESTÃO DE PESSOAS ............................................. 63
10.1 Efetivo Atual ........................................................................ 63
10.2 Atribuições e Necessidades de Pessoal................................ 63
10.3 Processos Críticos com Carência de Servidores ................... 65
10.4 Estimativa da capacidade de execução disponível da TIC. ... 66
10.5 Ações de pessoal em andamento ......................................... 67
10.5.1 Contratação de 35 servidores temporários ...........................67
10.5.2 Mestrado profissionalizante ................................................68
10.5.3 Contratação de serviços de apoio à gestão de dados .............68
10.5.4 Plano de Transformação Digital ..........................................68
10.6 Necessidades do Arquivo Nacional ...................................... 69
PLANO ORÇAMENTÁRIO ......................................................... 71
PLANO DE GESTÃO DE RISCOS ............................................... 73
12.1 Identificação dos Riscos ...................................................... 73
12.2 Análise dos Riscos ............................................................... 73
12.3 Critérios de Aceitação dos Riscos ........................................ 74
MONITORAMENTO E AVALIAÇÃO DO PLANO........................... 78
CONCLUSÃO ........................................................................... 79
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 336
LISTA DE FIGURAS
Figura 1 - Fases de elaboração do PDTIC ...................................................................................................... 9
Figura 2 - Estrutura Organizacional do MJSP .............................................................................................. 14
Figura 3 - Estrutura Organizacional da Secretaria-Executiva...................................................................... 14
Figura 4 - Estrutura Organizacional da DTIC/SE .......................................................................................... 15
Figura 5 - Necessidades de TIC do PDTIC anterior por Unidade ................................................................. 17
Figura 6 - Necessidades de TIC do PDTIC anterior - Alta Prioridade........................................................... 18
Figura 7 - Necessidades de TIC do PDTIC anterior - Média Prioridade ....................................................... 19
Figura 8 - Necessidades de TIC do PDTIC anterior concluídas por área ..................................................... 20
Figura 9 - Necessidades de TIC do PDTIC anterior canceladas por área ..................................................... 21
Figura 10 - Necessidades de TIC do PDTIC anterior aguardando atendimento.......................................... 22
Figura 11 - Necessidades de TIC do PDTIC anterior sem definição por parte do demandante .................. 23
Figura 12 - Elementos do referencial estratégico delineado ...................................................................... 25
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 337
LISTA DE TABELAS
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 338
APRESENTAÇÃO
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 339
• Diretoria de Tecnologia da Informação e Comunicação – DTIC;
• Consultoria Jurídica – CONJUR;
• Departamento Penitenciário Nacional – DEPEN;
• Secretaria de Gestão e Ensino em Segurança Pública – SEGEN;
• Secretaria Nacional de Justiça – SENAJUS;
• Secretaria Nacional de Políticas sobre Drogas – SENAD;
• Secretaria Nacional de Segurança Pública – SENASP;
• Secretaria Nacional do Consumidor – SENACON;
• Secretaria de Operações Integradas – SEOPI; e
• Arquivo Nacional – AN.
Destaque-se que a Polícia Federal, a Polícia Rodoviária Federal,
o CADE e a FUNAI possuem unidades de TIC internas e elaboram
PDTICs próprios.
Além do planejamento de todas as contratações e aquisições de
TIC necessárias ao cumprimento dos objetivos institucionais do MJSP,
este documento apresenta um diagnóstico da execução do PDTIC
anterior, consolida o inventário de necessidades levantadas para o
próximo triênio, prioriza-as e propõe um Plano de Metas e Ações a
serem executadas para o seu atendimento.
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 340
METODOLOGIA
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 341
A fase de diagnóstico objetivou a compreensão da situação atual
da TIC no Ministério por meio da análise das ações previstas no PDTIC
anterior e da identificação das necessidades de TIC.
Após o levantamento de tais necessidades e sua consolidação
conforme o tipo (contratação ou desenvolvimento interno), foi
elaborado um Inventário de Necessidades de TIC priorizado com base
nas informações fornecidas por cada Unidade.
Finalmente, na última fase (planejamento), foi possível, com
base no diagnóstico realizado na fase anterior, definir as ações de
atendimento das demandas alinhadas aos objetivos e indicadores
estratégicos contemplados no Plano Estratégico de TIC – PETIC. Além
da definição do Plano de Metas e Ações, foi realizado o planejamento
das ações de pessoal, o planejamento orçamentário e o planejamento
da gestão de riscos.
10
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 342
REFERÊNCIAS
11
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 343
• Portaria nº 86, de 23 de março de 2020 - Institui o Sistema
de Governança do Ministério da Justiça e Segurança Pública
e da Fundação Nacional do Índio;
• Decreto nº 10.332, de 28 de abril de 2020 - Institui a
Estratégia de Governo Digital para o período de 2020 a
2022, no âmbito dos órgãos e das entidades da
administração pública federal;
• Plano de Transformação Digital do Ministério da Justiça e
Segurança Pública (MJSP) - Plano pactuado entre o MJSP,
SEME/SG-PR e SGD/ME, visando oferecer maior facilidade
e simplificação para o acesso, a solicitação e o
acompanhamento de serviços ao cidadão;
• Guia de PDTIC do SISP versão 2.0 - Dispõe sobre os
padrões, orientações, diretrizes e modelos para elaboração
do Plano Diretor de TIC;
• Control Objectives for Information and Related Technology
(COBIT 2019) - Fornece um modelo abrangente que auxilia
as organizações a atingirem seus objetivos de governança
e gestão de TIC;
• Project Management Body of Knowledge (PMBOK) 6ª
edição - Guia com modernas práticas de gerenciamento de
projetos; e
• Information Technology Infrastructure Library (ITIL V3) -
Conjunto de boas práticas a serem aplicadas na
infraestrutura, operação e manutenção de serviços de
tecnologia da informação.
12
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 344
ORGANIZAÇÃO DA ÁREA DE TIC
1
Portaria SE/MJSP nº 77, de 17 de janeiro de 2020, Art. 4º, Inciso VII
13
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 345
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA
(Decreto nº 9.662, de 1º de janeiro de 2019, alterado pelo Decreto nº 10.073, de 18 de outubro de 2019)
SECRETARIA EXECUTIVA – SE
(Decreto nº 9.662, de 1º de janeiro de 2019, alterado pelo Decreto nº 10.073, de 18 de outubro de 2019)
14
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 346
E, por fim, a Figura 4 abaixo apresenta a estrutura organizacional
interna da DTIC/SE.
DIRETORIA DE TECNOLOGIA DA
INFORMAÇÃO E COMUNICAÇÃO
DAS 101.5
Assessor Técnico
DAS 102.3
COORDENAÇÃO DE INOVAÇÃO E
COORDENAÇÃO DE COORDENAÇÃO DE COORDENAÇÃO DE RISCOS E
INTEGRAÇÃO DE TIC PARA
INFORMAÇÕES DE DADOS INFRAESTRUTURA DE TIC SEGURANÇA DE TIC
SEGURANÇA PÚBLICA
FCPE 101.3 DAS 101.3 DAS 101.3
DAS 101.3
DIVISÃO DE SISTEMAS
COORDENAÇÃO DE COORDENAÇÃO DE PORTFÓLIO E DIVISÃO DE PESQUISA E ANÁLISE
OPERACIONAIS,
DESENVOLVIMENTO DE SISTEMAS NORMATIVOS DE TIC DE SOLUÇÃO DE TIC
ARMAZENAMENTO E BACKUP
DAS 101.3 FCPE 101.3 DAS 101.2
DAS 101.2
COORDENAÇÃO DE GESTÃO DE
DIVISÃO DE DESENVOLVIMENTO, COORDENAÇÃO DE SISTEMAS DE PRODUTOS, SERVIÇOS E
DIVISÃO DE ESCRITÓRIO DE
ARQUITETURA, TESTES E PRODUÇÃO E BANCO DE DADOS INTEGRAÇÃO DE TIC PARA
PROJETOS DE TIC
QUALIDADE DE SISTEMAS DE SEGURANÇA PÚBLICA SEGURANÇA PÚBLICA
DAS 101.2
FCPE 101.2 DAS 101.3
DAS 101.3
DIVISÃO DE AQUISIÇÕES
DIVISÃO DE SERVIÇOS DE
CONJUNTAS DE SOLUÇÃO DE TIC
TELECOMUNICAÇÕES
PARA SEGURANÇA PÚBLICA
DAS 101.2
DAS 101.2
DIVISÃO DE SUPORTE AO
USUÁRIO
DAS 101.2
15
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 347
RESULTADO DO PDTIC ANTERIOR
16
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 348
Figura 5 - Necessidades de TIC do PDTIC anterior por Unidade
17
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 349
Figura 6 - Necessidades de TIC do PDTIC anterior - Alta Prioridade
18
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 350
Figura 7 - Necessidades de TIC do PDTIC anterior - Média Prioridade
19
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 351
Figura 8 - Necessidades de TIC do PDTIC anterior concluídas por área
20
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 352
Figura 9 - Necessidades de TIC do PDTIC anterior canceladas por área
21
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 353
Figura 10 - Necessidades de TIC do PDTIC anterior aguardando atendimento
22
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 354
Figura 11 - Necessidades de TIC do PDTIC anterior sem definição por parte do demandante
23
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 355
REFERENCIAL ESTRATÉGICO
24
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 356
Figura 12 - Elementos do referencial estratégico delineado
25
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 357
INVENTÁRIO DAS NECESSIDADES DE TIC
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Desenvolvimento de
Desenvolvimento novo sistema de Solução para gerenciar os
1 N0572 SEGEN DIGES OE03 PE1U 1
Interno informação ou processos licitatórios
aplicativo móvel
Outros serviços de Implantação de sistema
Desenvolvimento
2 N0275 SE/SAA CGGP OE09 N/D provimento de informatizado para o Programa 1
Interno
solução de TIC de Gestão
Desenvolvimento de
Sistema de gestão das
Desenvolvimento novo sistema de
3 N0414 SEGEN DIGES OE10 N/D transferências Fundo a Fundo 1
Interno informação ou
(FaF)
aplicativo móvel
Desenvolvimento de
Desenvolvimento novo sistema de Sistema de Gestão de Convênios
4 N0529 SEGEN DIGES OE10 N/D 1
Interno informação ou e Contratos de Repasse
aplicativo móvel
Provimento de
Desenvolvimento solução de análise SINESP Big Data -
5 N0160 SENASP DGI OE03 PE97 1
Interno técnica e gerencial desenvolvimento
de dados
Sistema de
6 N0161 SENASP DGI OE03 PE97 Contratação Informação SINESP Infoseg - desenvolvimento 1
comercial
Desenvolvimento de
Desenvolvimento novo sistema de
7 N0162 SENASP DGI OE03 PE97 SINESP OCR 1
Interno informação ou
aplicativo móvel
26
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 358
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
8 N0163 SENASP DGI OE03 PE97 Contratação Serviços de TIC SINESP Big Data - nuvem privada 1
Provimento de
Desenvolvimento solução de análise
9 N0164 SENASP DGI OE03 PE97 Portal SINESP 1
Interno técnica e gerencial
de dados
Provimento de
Desenvolvimento solução de análise
10 N0165 SENASP DGI OE03 PE97 SINESP DW Análise 1
Interno técnica e gerencial
de dados
SINESP Infoseg – Módulos
11 N0167 SENASP DGI OE03 PE97 Contratação Serviços de TIC 1
Remotos e links MPLS
Outros serviços de
Desenvolvimento SINESP - Replicação da base de
12 N0168 SENASP DGI OE03 PE97 provimento de 1
Interno dados
solução de TIC
Sistema de
13 N0176 SENASP DGI OE03 PE97 Contratação Informação SINESP Segurança 1
comercial
Desenvolvimento de
Desenvolvimento novo sistema de
14 N0177 SENASP DGI OE03 PE97 SINESP Auditoria 1
Interno informação ou
aplicativo móvel
Desenvolvimento de
Desenvolvimento novo sistema de
15 N0185 SENASP DGI OE03 PE97 SINESP Agente de Campo 1
Interno informação ou
aplicativo móvel
27
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 359
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Sistema de
16 N0193 SENASP DGI OE03 PE97 Contratação Informação SINESP CAD 1
comercial
Central de atendimento 24/7 ao
17 N0247 SENASP DGI OE03 PE97 Contratação Serviços de TIC 1
usuário dos sistemas do SINESP
Licença e uso de Ferramentas de avaliação de
18 N0263 SE/DTIC CGGOV OE11 N/D Contratação 9000
software vulnerabilidades em ativos
Contratação de Serviço de Centro
19 N0264 SE/DTIC CGGOV OE11 N/D Contratação Serviços de TIC 1
de Operações de Segurança
Licença e uso de Contratação de ferramenta de
20 N0267 SE/DTIC CGGOV OE11 N/D Contratação 1
software auditoria e análise de logs de SIC
Serviço de suporte técnico ao
21 N0350 SE/SAA CGGP OE09 N/D Contratação Serviços de TIC 1
sistema eletrônico de ponto REP
Licença e uso de Licença para uso do Microsoft BI
22 N0358 SENAJUS DPJUS OE02 PE77 Contratação 4
software (Business Intelligence)
Licença e uso de Licença para uso do Microsoft BI
23 N0373 SENAJUS DPJUS OE02 PE77 Contratação 4
software (Business Intelligence)
Central de atendimento 24/7 ao
24 N0202 SE/DTIC CGISP OE11 N/D Contratação Serviços de TIC 1
usuário dos sistemas do MJSP
Fábrica de Software para
25 N0210 SE/DTIC CGSID OE11 N/D Contratação Serviços de TIC desenvolvimento e sustentação 1
de sistemas
Modelo de Governança de TIC no
26 N0007 SE/DTIC CGGOV OE11 N/D Contratação Serviços de TIC 1
MJSP
Curso de Mestrado Profissional
em Ciência de Dados e Segurança
27 N0008 SE/DTIC CGGOV OE11 N/D Contratação Capacitação 1
da Informação por meio de TED
com a UnB
28
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 360
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Outros serviços de
Desenvolvimento Sistema de coleta de informações
28 N0157 DEPEN DIPEN OE04 PE1D provimento de 1
Interno prisionais
solução de TIC
Desenvolvimento de
Desenvolvimento novo sistema de Sistema de Identidades
29* N0197 SENASP DGI OE03 PE97 1
Interno informação ou Funcionais Digital
aplicativo móvel
30 N0290 SENAJUS DEMIG OE02 PE73 Contratação Equipamentos de TIC Aquisição de Webcams 20
Desenvolvimento de
Desenvolvimento novo sistema de Sistema de monitoramento das
31 N0409 DEPEN DIREX OE04 PE1B 1
Interno informação ou obras prisionais
aplicativo móvel
Outros serviços de
Desenvolvimento Normativos de Segurança da
32 N0248 SE/DTIC CGGOV OE11 N/D provimento de 15
Interno Informação e Comunicação
solução de TIC
Outros serviços de
Desenvolvimento Conscientização de Segurança da
33 N0249 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno Informação e Comunicação
solução de TIC
Outros serviços de
Desenvolvimento
34 N0250 SE/DTIC CGGOV OE11 N/D provimento de Gestão de Ativos de TIC 1
Interno
solução de TIC
Outros serviços de
Desenvolvimento Serviços de Segurança da
35 N0252 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno Informação e Comunicação
solução de TIC
Outros serviços de
Desenvolvimento Análise de segurança de sistemas
36 N0253 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno informatizados
solução de TIC
29
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 361
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Outros serviços de
Desenvolvimento Mitigação de vulnerabilidades
37 N0254 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno dos sistemas do MJSP
solução de TIC
Outros serviços de
Desenvolvimento Realização de testes de
38 N0256 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno segurança nos sistemas do MJSP
solução de TIC
Ferramenta para classificação e
Licença e uso de monitoramento de dados
39 N0270 SE/DTIC CGGOV OE11 N/D Contratação 1
software sensíveis, incidentes de
segurança e alerta em tempo real
Outros serviços de
Desenvolvimento SEI - Atualizações do Módulo de
40 N0510 SE/SAA CGDS N/D N/D provimento de 1
Interno Pesquisa Pública
solução de TIC
Desenvolvimento de
Desenvolvimento novo sistema de Sistema de Gestão e Controle de
41 N0530 SEGEN DIGES OE09 N/D 1
Interno informação ou Efetivo
aplicativo móvel
Provimento de Desenvolvimento de API para
Desenvolvimento solução de análise acesso a Base de Dados do
42 N0555 SEGEN DIGES OE10 N/D 1
Interno técnica e gerencial Sistema Gestão Ágil do Banco do
de dados Brasil
Provimento de
Desenvolvimento solução de análise Painel BI de Transferências
43 N0564 SEGEN DIGES OE10 N/D 1
Interno técnica e gerencial Voluntárias e Obrigatórias
de dados
Sistema de
Desenvolvimento de recursos
44 N0013 SEGEN DEP OE01 N/D Contratação Informação 1
para e-learning interativo
comercial
30
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 362
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Outros serviços de
Desenvolvimento SEI - Implantação do Módulo de
45 N0513 SE/SAA CGDS N/D N/D provimento de 1
Interno Gestão Documental
solução de TIC
Sistema de
46 N0178 SENASP DGI OE03 PE97 Contratação Informação SINESP Integração 1
comercial
47 N0180 SENASP DGI OE03 PE97 Contratação Serviços de TIC Rede SINESP 1
Sistema de
Sistema de gestão de frota
48 N0186 SENASP DGI OE03 PE97 Contratação Informação 1
veicular
comercial
Desenvolvimento de
Solução de Gestão de logística de
Desenvolvimento novo sistema de
49 N0188 SENASP DGI OE03 PE97 operações, suprimentos, 1
Interno informação ou
transporte
aplicativo móvel
Desenvolvimento de
Desenvolvimento novo sistema de
50 N0280 SE/SAA CGGP OE09 PE64 Sistema Competências 1
Interno informação ou
aplicativo móvel
51 N0384 SENACON CGPFF OE06 PE87 Contratação Capacitação Capacitação 16
SE/GAB
52 N0390 CODAP OE09 PE64 Contratação Equipamentos de TIC Notebook 1
SE
SE/GAB
53 N0398 COAT OE09 PE64 Contratação Equipamentos de TIC Notebook 3
SE
SE/GAB Equipamento de
54 N0401 COAT OE09 PE64 Contratação Equipamentos de TIC 3
SE videoconferência
31
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 363
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Equipamentos de infraestrutura
55 N0429 SE/DTIC CGISE OE01 PE95 Contratação Equipamentos de TIC 20
hiperconvergente
Contratação de subscrição de
56 N0435 SE/DTIC CGISE OE03 PE97 Contratação Serviços de TIC 1000
softwares da empresa Red Hat
Contratação de suporte Microsoft
57 N0436 SE/DTIC CGISE OE01 PE81 Contratação Serviços de TIC 250
Premier
Renovação do licenciamento e
58 N0448 SE/DTIC CGISE OE01 PE81 Contratação Serviços de TIC suporte para a solução de backup 8
corporativo da DTIC
Contratação de certificado digital
59 N0451 SE/DTIC CGISE OE01 PE81 Contratação Serviços de TIC 1
wildcard
Outros serviços de
Desenvolvimento
60 N0173 SENASP DGI OE03 PE97 provimento de Internalização do SINESP 1
Interno
solução de TIC
Sistema de
SINESP PPE - Sistema de Boletim
61 N0175 SENASP DGI OE03 PE97 Contratação Informação 1
Eletrônico
comercial
Desenvolvimento de
Desenvolvimento novo sistema de
62 N0179 SENASP DGI OE03 PE97 SINESP Cidadão 1
Interno informação ou
aplicativo móvel
Desenvolvimento de
Desenvolvimento novo sistema de
63 N0181 SENASP DGI OE03 PE97 SINESP Perícia 1
Interno informação ou
aplicativo móvel
64 N0182 SENASP DGI OE03 PE97 Contratação Serviços de TIC SINESP Delegacia Virtual 1
32
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 364
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Evolução/melhoria
de sistema de
Desenvolvimento
65 N0183 SENASP DGI OE03 PE97 informação ou SINESP SAIE 1
Interno
aplicativo móvel já
existente
Desenvolvimento de
Desenvolvimento novo sistema de
66 N0184 SENASP DGI OE03 PE97 SINESP VDE 1
Interno informação ou
aplicativo móvel
67 N0192 SENASP DGI OE03 PE97 Contratação Serviços de TIC SINESP - sustentação 1
Outros serviços de
Desenvolvimento
68 N0271 SENACON DPDC OE06 PE50 provimento de Sistema de recall 0
Interno
solução de TIC
Desenvolvimento de Sistema de Gestão de
Desenvolvimento novo sistema de Documentos de Arquivo da
69 N0005 AN COAD OE08 PE43 1
Interno informação ou Administração Pública Federal -
aplicativo móvel SIGA
Desenvolvimento de Aperfeiçoamento do Sistema
Desenvolvimento novo sistema de Nacional de
70 N0006 AN COAD OE08 PE1 1
Interno informação ou Informações do Arquivo Nacional
aplicativo móvel - SIAN
Desenvolvimento de
Desenvolvimento novo sistema de Criação de um Canal de
71 N0158 SENACON CNCP OE06 N/D 1
Interno informação ou Denúncias do CNCP
aplicativo móvel
Soluções de análise
Contratação de serviços
72 N0208 SE/DTIC CGSID OE11 N/D Contratação técnica e gerencial 1
especializados para dados, BI,
de dados (analytics)
33
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 365
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
ciência de dados, big data e
governança de dados
Contratação de computadores e
73 N0288 SENACON CGARI OE06 N/D Contratação Equipamentos de TIC 400
impressoras
Licença e uso de Licença de software de análise de
74 N0010 SEGEN DEP OE01 N/D Contratação 1
software similaridade textual
Sistema de
75 N0309 SENAJUS DPJUS OE02 PE70 Contratação Informação Plataforma Online Resoluto 467
comercial
Infraestrutura e serviços de
76 N0351 SENAJUS DRCI OE01 PE75 Contratação Serviços de TIC 1
nuvem para a Rede-Lab
Licença e uso de Ferramentas colaborativas
77 N0361 SENAJUS DRCI OE01 PE75 Contratação 557
software (reestruturação da Rede-Lab)
79 N0479 SEOPI DIOP OE01 PE89 Contratação Equipamentos de TIC Computadores do tipo Servidores 6
80 N0480 SEOPI DIOP OE01 PE89 Contratação Equipamentos de TIC Sistema de VideoWall 9
34
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 366
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
84* N0493 SEOPI DIOP OE01 PE91 Contratação Equipamentos de TIC Roteadores 3g/4g Wifi 2
MiniPCs, Workstations e
85 N0495 SEOPI DIOP OE01 PE91 Contratação Equipamentos de TIC 70
Notebooks
Software de extração de dados
Licença e uso de
86 N0502 SEOPI DINT OE03 PE90 Contratação em dispositivos móveis com 2
software
licença de uso perpétua
Software capaz de analisar
Licença e uso de
87 N0503 SEOPI DINT OE03 PE90 Contratação inúmeras extrações ao mesmo 5
software
tempo
Software de Inteligência para
Licença e uso de
88 N0504 SEOPI DINT OE03 PE90 Contratação análise e extração de dados 1
software
multiplataforma
Capacitação na área de extração
89 N0505 SEOPI DINT OE03 PE90 Contratação Capacitação de dados de smartphones 30
danificados
Evolução/melhoria
de sistema de
Desenvolvimento Desenvolvimento do Banco de
90 N0506 SEOPI DINT OE03 PE90 informação ou 1
Interno Dados
aplicativo móvel já
existente
Atualização de licenças para
Licença e uso de
91 N0507 SEOPI DINT OE03 PE90 Contratação extração de dados de dispositivos 3
software
móveis
92 N0519 SEOPI DIOP OE01 PE89 Contratação Equipamentos de TIC Mini Desktops 30
35
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 367
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
96 N0523 SEOPI DIOP OE01 PE91 Contratação Equipamentos de TIC Mini Desktops 30
98* N0528 SEOPI DIOP OE01 PE91 Contratação Equipamentos de TIC Servidor de virtualização 1
36
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 368
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Capacitação de servidores que
106 N0259 SE/DTIC CGGOV OE11 N/D Contratação Capacitação atuam na área de Segurança da 1
Informação
Capacitação com certificação
107 N0260 SE/DTIC CGGOV OE11 N/D Contratação Capacitação oficial em conhecimentos de 1
hacking ético
Indicadores e controles de
Outros serviços de
Desenvolvimento monitoramento contínuo de
108 N0261 SE/DTIC CGGOV OE11 N/D provimento de 1
Interno Segurança da Informação e
solução de TIC
Comunicação
Outros serviços de
Desenvolvimento Servidor para um sistema em PHP
109 N0325 SENACON DPDC OE06 N/D provimento de 1
Interno com banco de dados MySQL
solução de TIC
Outros serviços de Migração do portal
Desenvolvimento
110 N0327 SENACON DPDC OE06 N/D provimento de www.defesadoconsumidor.gov.br 5
Interno
solução de TIC para o portal.gov.br
111 N0348 DEPEN DIRPP OE04 N/D Contratação Equipamentos de TIC Impressora 38
Outros serviços de
Desenvolvimento Software homologado para
112 N0444 GM COGER OE03 N/D provimento de 10
Interno fragmentar arquivos de vídeo
solução de TIC
Outros serviços de
Desenvolvimento SEI - Atualizações do Módulo de
113 N0509 SE/SAA CGDS N/D N/D provimento de 1
Interno Protocolo Integrado
solução de TIC
Licença e uso de Solução de Interoperabilidade
114 N0153 DEPEN DISPF OE04 PE1G Contratação 1
software Polycom
37
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 369
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Solução de auxílio à gravação,
Licença e uso de
115 N0166 SENASP DGI OE03 PE97 Contratação degravação, reconhecimento de 1
software
texto
116 N0170 SENASP DGI OE03 PE97 Contratação Equipamentos de TIC Desktop com 2 monitores 500
121 N0190 SENASP DGI OE03 PE97 Contratação Equipamentos de TIC Tablet 500
122 N0191 SENASP DGI OE03 PE97 Contratação Equipamentos de TIC Desktop com 1 Monitor 500
125* N0196 SENASP DGI OE03 PE97 Contratação Equipamentos de TIC Solução completa de videowall 3
126 N0229 SENASP DPSP OE03 PE96 Contratação Equipamentos de TIC Notebooks 6
38
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 370
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
127 N0230 SENASP DPSP OE03 PE96 Contratação Equipamentos de TIC Câmeras para videoconferência 6
129 N0233 SENASP DPSP OE03 PE96 Contratação Equipamentos de TIC Desktop 3
Sistema de Sistema de Gerenciamento de
130 N0235 SENASP DPSP OE01 PE92 Contratação Informação Informações de Laboratório - 54
comercial LIMS
Licença e uso de Software destinado à análise de
131 N0236 SENASP DPSP OE01 PE92 Contratação 54
software perfis genéticos
132 N0237 SENASP DPSP OE01 PE92 Contratação Equipamentos de TIC Tablets 54
133 N0238 SENASP DPSP OE01 PE92 Contratação Equipamentos de TIC Servidores (Equipamento de TI) 54
134 N0244 SENASP DGI OE03 PE97 Contratação Equipamentos de TIC Mini Rastreador Veicular 1755
Contratação/renovação de
135 N0277 SENACON DPDC OE06 PE17 Contratação Serviços de TIC 1
Nuvem Oracle
Licença e uso de
136 N0278 SENACON DPDC OE06 PE17 Contratação Certificados digitais 1
software
137 N0340 SENAJUS DPJUS OE02 PE70 Contratação Equipamentos de TIC Notebooks 4
138 N0342 SENAJUS DPJUS OE02 PE70 Contratação Equipamentos de TIC Webcam 10
139 N0344 SENAJUS DPJUS OE02 PE70 Contratação Equipamentos de TIC Fones de ouvido 10
39
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 371
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
140 N0372 SENAJUS DRCI OE01 PE75 Contratação Equipamentos de TIC Webcams 5
Computadores, licenças de Power
141 N0423 SENAD DGA OE05 PE1P Contratação Equipamentos de TIC BI, painéis de BI e equipamentos 2
de videoconferência
Licença e uso de Extrator de dados em aparelhos
142 N0426 DEPEN DIPEN OE04 PE98 Contratação 6
software de telefonia móvel
Licença e uso de Ferramenta de vínculo de dados
143 N0428 DEPEN DIPEN OE04 PE98 Contratação 6
software (tipo I-2)
Licença e uso de Programa para degravação de
144 N0430 DEPEN DIPEN OE04 PE98 Contratação 1
software áudio
145 N0434 DEPEN DIPEN OE04 PE98 Contratação Equipamentos de TIC Notebook 200
146 N0438 DEPEN DIPEN OE04 PE98 Contratação Equipamentos de TIC Servidor de rede 27
147 N0439 DEPEN DIPEN OE04 PE98 Contratação Equipamentos de TIC Servidor de rede 27
148 N0501 SEOPI DIOP OE01 PE91 Contratação Serviços de TIC Provimento de internet móvel 15
40
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 372
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Licença e uso de
153 N0273 GM OUVG OE10 N/D Contratação Common Data Service 1
software
Licença e uso de Licenças Adobe - pacote
154 N0389 GM ASCOM OE10 N/D Contratação 10
software completo
Aquisição de switches de acesso e
155 N0437 SE/DTIC CGISE OE11 N/D Contratação Equipamentos de TIC 100
de equipamentos de rede sem fio
Outros serviços de
Desenvolvimento
156 N0497 SE/SAA CGDS N/D N/D provimento de SEI - Atualização para versão 315 1
Interno
solução de TIC
Outros serviços de
Desenvolvimento
157 N0498 SE/SAA CGDS N/D N/D provimento de SEI - Atualização para versão 40 1
Interno
solução de TIC
Outros serviços de
Desenvolvimento Atualizações futuras do Sistema
158 N0500 SE/SAA CGDS N/D N/D provimento de 1
Interno SEI
solução de TIC
Outros serviços de SEI - Atualizações do Módulo
Desenvolvimento
159 N0508 SE/SAA CGDS N/D N/D provimento de Peticionamento e Intimação 1
Interno
solução de TIC Eletrônicos
Outros serviços de
Desenvolvimento SEI - Atualizações do Módulo
160 N0512 SE/SAA CGDS N/D N/D provimento de 1
Interno Aplicativo para Celulares
solução de TIC
Outros serviços de
Desenvolvimento SEI - Implantação do Módulo de
161 N0514 SE/SAA CGDS N/D N/D provimento de 1
Interno Produtividade
solução de TIC
41
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 373
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Outros serviços de
Desenvolvimento DSpace - Adaptação em
162 N0516 SE/SAA CGDS N/D N/D provimento de 1
Interno funcionalidade
solução de TIC
163 N0536 SENAD GAB_SENAD OE05 N/D Contratação Equipamentos de TIC Notebook 2
168 N0574 DEPEN DISPF OE11 N/D Contratação Equipamentos de TIC Monitor 30
Outros serviços de SEI - Atualizações do Módulo de
Desenvolvimento
169 N0014 SE/SAA CGDS N/D N/D provimento de Barramento Interórgãos 1
Interno
solução de TIC (ConectaGov)
Outros serviços de
Desenvolvimento
170 N0015 SE/SAA CGDS N/D N/D provimento de SEI - Painel BI 1
Interno
solução de TIC
Licença e uso de Ferramentas para o
171 N0293 SE/SPO CGGE OE10 N/D Contratação 1
software monitoramento da estratégia
Outros serviços de
Desenvolvimento Solução de fluxo de informação
172 N0294 SE/SPO CGGE OE10 N/D provimento de 1
Interno para o PEI
solução de TIC
Desenvolvimento Provimento de
173 N0326 SE/SPO CGGE OE10 N/D Painel de monitoramento do PE 1
Interno solução de análise
42
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 374
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
técnica e gerencial
de dados
Evolução/melhoria
de sistema de
Desenvolvimento Manutenção de solução de
174 N0386 SE/SPO CGGE OE10 N/D informação ou 1
Interno Gestão Estratégica
aplicativo móvel já
existente
Contratação de cursos e
175 N0203 SE/DTIC CGISP OE09 N/D Contratação Capacitação capacitações em TIC para os 200
servidores da DTIC
Aquisição de Notebooks de alta
176 N0266 SE/DTIC CGGOV OE11 N/D Contratação Equipamentos de TIC 200
performance e monitores
177 N0525 SE/SPO CGGE OE10 N/D Contratação Equipamentos de TIC Computadores 9
178 N0526 SE/SPO CGGE OE10 N/D Contratação Equipamentos de TIC Notebook de alto desempenho 2
183 N0207 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Notebook 104
43
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 375
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Licença e uso de
184 N0212 SENASP DFNSP OE01 N/D Contratação Licenças Office 365 150
software
185 N0213 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Tablets 5
186 N0214 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Tablets 1
Licença e uso de
187 N0215 SENASP DFNSP OE01 N/D Contratação Licenças Windows 10 PRO 150
software
Licença e uso de
188 N0216 SENASP DFNSP OE01 N/D Contratação Licença Adobe Photoshop 5
software
Licença e uso de
189 N0217 SENASP DFNSP OE01 N/D Contratação Licença Sublime Text 30 5
software
Licença e uso de
190 N0218 SENASP DFNSP OE01 N/D Contratação Licença Prezi 1
software
Licença e uso de
191 N0219 SENASP DFNSP OE01 N/D Contratação Licença Microsoft Project 1
software
Licença e uso de
192 N0220 SENASP DFNSP OE01 N/D Contratação Licença Microsoft Visual Studio 5
software
Licença e uso de
193 N0221 SENASP DFNSP OE01 N/D Contratação Licença AutoCAD 2019 5
software
Licença e uso de
194 N0222 SENASP DFNSP OE01 N/D Contratação Licença CorelDRAW 2020 5
software
Fone de ouvido estéreo com
195 N0224 SENAJUS DEMIG OE09 N/D Contratação Equipamentos de TIC 7
sistema de redução de ruído
196 N0225 SENAJUS DEMIG OE09 N/D Contratação Equipamentos de TIC Câmeras para videoconferência 7
44
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 376
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Evolução/melhoria
de sistema de
Desenvolvimento
197 N0226 SENASP DPSP OE01 N/D informação ou Evolução do sistema DESARMA 1
Interno
aplicativo móvel já
existente
Licença e uso de
198 N0239 SENASP CGESP OE10 N/D Contratação Licença Microsoft Project 5
software
Câmera de vídeo tipo Webcam
199 N0240 SE/SPO CGCONTAB N/D N/D Contratação Equipamentos de TIC 10
com Headset
Provimento de
Desenvolvimento solução de análise
200 N0241 SE/SPO CGCONTAB N/D N/D BI - Painel da Contabilidade 1
Interno técnica e gerencial
de dados
Licença e uso de
201 N0242 SE/SAA CGAE N/D N/D Contratação Licenças do Software AutoCad 10
software
Licença e uso de
202 N0245 SENASP DPSP OE10 N/D Contratação Licença Microsoft Project 15
software
Sistema de
Solução para a Governança do
203* N0246 SENASP DPSP OE10 N/D Contratação Informação 1
SUSP
comercial
Capacitação em Gestão e
204 N0265 SE/DTIC CGGOV OE11 N/D Contratação Capacitação 20
Governança de projetos
Curso para elaboração de metas
205 N0269 SE/DTIC CGGOV OE11 N/D Contratação Capacitação 20
e indicadores
206 N0274 SE/SPO CGOF N/D N/D Contratação Equipamentos de TIC Desktops e notebooks 23
Aquisição de novos
207 N0279 GM OUVG OE10 N/D Contratação Equipamentos de TIC 4
computadores desktop
45
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 377
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Licença e uso de Aquisição de licenças Pro do
208 N0281 GM OUVG OE10 N/D Contratação 5
software Power BI
Aquisição de fones de ouvido
209 N0282 GM OUVG OE10 N/D Contratação Equipamentos de TIC 12
Headset
Aquisição de notebook com
210 N0283 GM OUVG OE10 N/D Contratação Equipamentos de TIC grande capacidade de 2
processamento
211 N0287 GM OUVG OE10 N/D Contratação Equipamentos de TIC Aquisição de computadores 5
212 N0299 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Notebooks 20
213* N0300 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Impressoras 10
214 N0302 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Notebooks 1
215 N0303 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Monitor 2
216 N0306 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Notebooks 3
218 N0313 SENASP DFNSP OE01 N/D Contratação Equipamentos de TIC Tablet 5
220 N0317 SENASP DPSP OE10 N/D Contratação Equipamentos de TIC Desktop 4,5
46
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 378
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Licença e uso de
221* N0318 SENASP DPSP OE10 N/D Contratação Licenças de software 27
software
Licenças de software Amped Five
Licença e uso de
222 N0319 SENASP DPSP OE01 N/D Contratação profissional e Amped 48
software
Authenticate
223 N0320 SENASP DPSP OE01 N/D Contratação Equipamentos de TIC Computadores Desktop 113
226 N0328 SENAJUS DEMIG OE09 N/D Contratação Equipamentos de TIC Webcam 4
227 N0332 SENACON DPDC OE06 N/D Contratação Equipamentos de TIC Notebooks 2
Licença e uso de
228 N0334 SENACON DPDC OE06 N/D Contratação Licença do Pacote Adobe 2
software
229 N0336 SENAJUS DEMIG OE09 N/D Contratação Equipamentos de TIC Webcam 3
Evolução/melhoria
de sistema de
Desenvolvimento
230 N0343 SE/SAA CGAE N/D N/D informação ou Evolução do sistema SIMAP 1
Interno
aplicativo móvel já
existente
Desenvolvimento de
Desenvolvimento novo sistema de Sistema para cadastro de
231 N0345 SENAJUS CGJUS OE11 N/D 1
Interno informação ou entidades sociais
aplicativo móvel
47
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 379
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
232 N0355 DEPEN DIRPP OE04 N/D Contratação Equipamentos de TIC Computadores Desktop 5
233 N0363 SE/SPO CGOF N/D N/D Contratação Capacitação Cursos de capacitação 3
Aquisição de computadores com
234 N0364 GM OUVG OE10 N/D Contratação Equipamentos de TIC grande capacidade de 2
processamento
Licença e uso de Ferramenta de mapeamento de
235 N0376 SE/DTIC CGGOV OE11 N/D Contratação 30
software processos
236 N0378 DEPEN DIRPP OE04 N/D Contratação Equipamentos de TIC Computadores Desktop 5
237 N0379 SE/SPO CGCONTAB N/D N/D Contratação Equipamentos de TIC Notebook e Desktops 6
Outros serviços de Conjunto de ferramentas
Desenvolvimento
238 N0382 GM COGER OE03 N/D provimento de Microsoft configuradas para 1
Interno
solução de TIC atender os fluxos de trabalho
Outros serviços de
Desenvolvimento Sistema Eletrônico de Processos
239 N0385 GM COGER OE03 N/D provimento de 1
Interno (PJe-Cor)
solução de TIC
240 N0387 GM COGER OE03 N/D Contratação Equipamentos de TIC Notebooks 4
241 N0388 SEGEN DIGES OE11 N/D Contratação Equipamentos de TIC Notebooks 155
CGINT-
242 N0393 ASINT N/D N/D Contratação Equipamentos de TIC Notebook 1
ASINT
CGINT-
243 N0395 ASINT N/D N/D Contratação Equipamentos de TIC Tablet 1
ASINT
48
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 380
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
Aquisição de desktops e
244 N0396 GM ASCOM OE10 N/D Contratação Equipamentos de TIC 4
notebooks
CGINT-
245 N0397 ASINT N/D N/D Contratação Equipamentos de TIC Webcam 1
ASINT
246 N0404 GM ASCOM OE10 N/D Contratação Equipamentos de TIC Impressora de fotos 1
Desenvolvimento de
Sistema para recebimento e
Desenvolvimento novo sistema de
247 N0408 SENAD DPPA OE01 N/D gerenciamento das propostas de 1
Interno informação ou
parcerias
aplicativo móvel
248 N0410 SEGEN DIGES OE11 N/D Contratação Equipamentos de TIC Notebooks 98
Equipamento de
249 N0411 DEPEN DISPF OE04 N/D Contratação Equipamentos de TIC 10
videoconferência
Manutenção preventiva,
250 N0413 DEPEN DISPF OE11 N/D Contratação Equipamentos de TIC corretiva e adaptativa da rede de 1
infraestrutura lógica GPON
251 N0415 SEGEN DIGES OE11 N/D Contratação Equipamentos de TIC Monitor 98
Sistema de Aquisição ou desenvolvimento de
252 N0417 DEPEN DISPF OE04 N/D Contratação Informação Software para gerenciamento de 1
comercial materiais
253 N0418 DEPEN DIPEN OE11 N/D Contratação Equipamentos de TIC Central Telefônica de aparelhos 1
Computador - Estação de
254 N0424 DEPEN DIPEN OE11 N/D Contratação Equipamentos de TIC 5
Trabalho
255 N0425 DEPEN DIPEN OE11 N/D Contratação Equipamentos de TIC Monitor 15
49
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 381
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
257 N0474 DEPEN DISPF OE04 N/D Contratação Equipamentos de TIC Fone de ouvido 35
258 N0475 SEGEN DIGES OE11 N/D Contratação Equipamentos de TIC Aquisição de desktops 15
259 N0476 SEGEN DIGES OE11 N/D Contratação Equipamentos de TIC Notebooks 15
Fone de ouvido estéreo com
260 N0490 SENAJUS DEMIG OE09 N/D Contratação Equipamentos de TIC 3
sistema de redução de ruído
Outros serviços de
Desenvolvimento SEI - Atualizações do Módulo de
261 N0511 SE/SAA CGDS N/D N/D provimento de 1
Interno Estatísticas
solução de TIC
Outros serviços de
Desenvolvimento DSPACE – Implantações de
262 N0515 SE/SAA CGDS N/D N/D provimento de 1
Interno Versões
solução de TIC
263 N0517 SE/SAA CGDS N/D N/D Contratação Equipamentos de TIC Webcams 50
264 N0518 SE/SAA CGDS N/D N/D Contratação Equipamentos de TIC Notebooks 50
Licença e uso de
265 N0540 SENAD GAB_SENAD OE05 N/D Contratação Licença do Corel Draw 1
software
Licença e uso de
266 N0541 SENAD GAB_SENAD OE05 N/D Contratação Licença Photoshop 2
software
Licença e uso de
267 N0542 SENAD GAB_SENAD OE05 N/D Contratação Licença do Bizagi Pro 3
software
50
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 382
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
268 N0543 SENAD GAB_SENAD OE05 N/D Contratação Equipamentos de TIC Computadores 2
278* N0570 SENASP DFNSP OE01 N/D Contratação Serviços de TIC Licenças de Telefone VoIP 15
279 N0577 DEPEN DISPF OE11 N/D Contratação Equipamentos de TIC Desktops 210
51
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 383
Objetivo Projeto
Priorização Código Unidade Área Tipo Subtipo Descrição Qtd
Estratégico Estratégico
280 N0579 DEPEN DISPF OE11 N/D Contratação Equipamentos de TIC Sistema de circuito fechado de TV 5
281 N0580 SENAD DPPA OE05 N/D Contratação Equipamentos de TIC Desktops 4
Licença e uso de
282 N0011 SEGEN DEP OE01 N/D Contratação Licença Pacote Adobe 2
software
283 N0012 SEGEN DEP OE01 N/D Contratação Equipamentos de TIC Webcam 10
Tabela 1 - Inventário de Necessidades de TIC
Em cerca de 5% das necessidades de TIC incluídas (indicadas com um *), não foi possível obter um
entendimento completo da demanda por parte da DTIC/SE durante a fase de levantamento, o que inviabilizou a
definição de ações para seu atendimento. Tais necessidades serão submetidas a um processo mais detalhado de
análise junto aos demandantes e serão complementadas na próxima revisão do PDTIC.
52
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 384
CRITÉRIOS DE PRIORIZAÇÃO
53
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 385
Os critérios de desempate também foram aprovados pelo GT-
PDTIC.
Além da priorização com base nos critérios supracitados, foram
aprovados outros dois parâmetros que serão usados como referência
para o atendimento das necessidades de TIC do PDTIC, de modo a
viabilizar a execução do plano e otimizar os recursos disponíveis.
Assim, de acordo com a sistemática estabelecida, a DTIC
empenhará esforços para atender às necessidades de TIC seguindo a
ordem de prioridade, respeitando-se a capacidade das suas diferentes
áreas internas, mas também poderá atender:
1. às necessidades de TIC cujo atendimento, em análise
individualizada, não dependa de recursos necessários ao
atendimento das de maior prioridade; e
2. às necessidades de TIC que forem necessárias à viabilização da
própria execução do PDTIC.
Reiteram-se aqui as considerações do PETIC sobre a necessidade
de revisão estratégica, que trará implicações no PDTIC, tais como:
• estruturação de um modelo de Governança de TIC por meio da
conclusão de seu diagnóstico, viabilizado por meio da execução
de um Termo de Execução Descentralizada – TED com a UnB,
que abrangerá a definição de uma cascata de objetivos baseada
no COBIT 2019 e poderá impactar na priorização das
necessidades de TIC;
• realização de diagnóstico do IT Score pelo Gartner Group, com a
consequente criação de um plano de ação; e
• trabalho de revisão e validação das necessidades do PDTIC pela
DTIC junto aos dirigentes do MJSP em reuniões trimestrais (a ser
proposto ao CGE), com implicações na exclusão/inclusão/
alteração das necessidades.
54
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 386
PLANO DE METAS E AÇÕES
Após análise e consolidação das necessidades de TIC, foram
definidas ações a serem executadas pela DTIC ou pelas próprias
unidades demandantes para o seu atendimento.
Necessidades semelhantes que pudessem ser contempladas por
uma mesma ação foram agrupadas na Tabela 4 abaixo, possibilitando
assim otimizar os recursos disponíveis e maximizar o alcance da
atuação da DTIC/SE.
Código Necessidades
Descrição Ação
Ação Atendidas
N0278
A0001 Aquisição de certificado digital
N0451
N0207
N0227
N0229
N0233
N0266
N0274
N0279
N0283
N0287
N0299
N0303
N0306
N0332
N0340
N0355
N0363
N0364
A0002 Aquisição de computadores e monitores para o MJSP N0374
N0378
N0379
N0387
N0388
N0390
N0393
N0396
N0398
N0410
N0415
N0423
N0424
N0425
N0475
N0476
N0495
N0518
55
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 387
Código Necessidades
Descrição Ação
Ação Atendidas
N0522
N0523
N0524
N0525
N0526
N0536
N0543
N0554
N0574
N0577
N0580
A0003 Aquisição de computadores e periféricos para doação - DEPEN N0434
Aquisição de computadores e periféricos para doação -
A0004 N0288
SENACON
N0170
N0172
A0005 Aquisição de computadores e periféricos para doação - SENASP N0191
N0317
N0320
N0519
A0006 Aquisição de computadores e periféricos para doação - SEOPI N0520
N0521
A0007 Aquisição de computadores para o MJSP (Macbook) N0302
N0152
N0224
N0225
N0230
N0232
N0240
N0272
N0282
N0290
N0328
N0336
N0342
A0009 Aquisição de equipamentos de TIC para videoconferência
N0344
N0363
N0372
N0397
N0401
N0411
N0423
N0470
N0474
N0490
N0517
N0556
56
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 388
Código Necessidades
Descrição Ação
Ação Atendidas
A0009 Aquisição de equipamentos de TIC para videoconferência N0012
A0010 Aquisição de impressora de fotos N0404
A0011 Aquisição de impressoras para doação N0348
N0221
A0013 Aquisição de licenças de software CAD
N0242
A0014 Aquisição de licenças de software Common Data Service N0273
N0222
A0015 Aquisição de licenças de software de edição gráfica
N0540
Aquisição de licenças de software de modelagem e automação N0384
A0016
de processos N0542
A0017 Aquisição de licenças de software de videoconferência N0153
A0018 Aquisição de licenças de software editor de código fonte N0217
Aquisição de licenças de software para análise de vínculo de N0428
A0020
dados N0504
Aquisição de licenças de software para análises forenses em
A0021 N0319
vídeos e imagens
Aquisição de licenças de software para apresentações não
A0022 N0218
lineares
A0023 Aquisição de licenças de software para doação - RIBPG N0236
N0322
N0324
Aquisição de licenças de software para extração e análise de N0426
A0025
dados de dispositivos móveis N0502
N0503
N0507
N0195
N0212
N0215
N0219
N0220
N0239
N0245
N0281
A0026 Aquisição de licenças e suporte Microsoft
N0289
N0358
N0361
N0373
N0384
N0423
N0436
N0545
A0027 Aquisição de rastreadores veiculares para doação N0244
A0030 Aquisição de servidores para doação - RIBPG N0238
N0438
A0031 Aquisição de servidores para doação - DEPEN
N0439
A0032 Aquisição de servidores para doação N0479
A0033 Aquisição de sistema de gerenciamento de estoque N0417
57
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 389
Código Necessidades
Descrição Ação
Ação Atendidas
A0034 Aquisição de smartphone para doação N0189
N0166
A0036 Aquisição de software para degravação de áudio
N0430
A0039 Aquisição de solução de videowall para doação N0480
Aquisição de switches de acesso e de equipamentos de rede
A0040 N0437
sem fio.
N0190
A0041 Aquisição de tablets para doação
N0237
N0213
N0214
A0042 Aquisição de tablets para o MJSP
N0313
N0395
Aquisição e ativação de equipamento localizador comunicador N0312
A0043
satelital bidirecional N0316
N0150
N0151
N0216
A0044 Aquisição/renovação de licenças de software Adobe N0334
N0389
N0541
N0011
A0045 Atualização do DSPACE N0515
N0497
A0046 Atualização do SEI N0498
N0500
A0047 Atualizações do Módulo Aplicativo para Celulares do SEI N0512
A0048 Atualizações do Módulo de Estatísticas do SEI N0511
A0049 Atualizações do Módulo de Pesquisa Pública do SEI N0510
A0050 Atualizações do Módulo de Protocolo Integrado do SEI N0509
Atualizações do Módulo Peticionamento e Intimação
A0051 N0508
Eletrônicos do SEI
A0052 Capacitação dos servidores que atuam na área de SIC N0259
A0053 Central Telefônica VOIP e aparelhos para a nova sede do DEPEN N0418
Conscientização dos usuários de TIC do MJSP em Segurança da
A0054 N0249
Informação e Comunicação
A0055 Contratação de banco de imagens N0539
Contratação de capacitação para extração de dados de
A0056 N0505
smartphones danificados
A0057 Contratação de capacitação para os servidores da DTIC N0203
N0298
Contratação de capacitação para os servidores do MJSP em
A0058 N0363
ferramentas de TIC
N0384
N0265
A0059 Contratação de curso de gerenciamento de projetos
N0269
N0260
A0060 Contratação de curso de hacking ético
N0486
A0061 Contratação de cursos de analytics e segurança da informação N0486
58
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 390
Código Necessidades
Descrição Ação
Ação Atendidas
Contratação de equipamentos para expansão da capacidade da
A0062 N0429
infraestrutura do Datacenter
A0063 Contratação de fábrica de software N0210
A0064 Contratação de Ferramenta de análise de vulnerabilidades N0263
A0065 Contratação de ferramenta de auditoria e análise de logs de SIC N0267
A0066 Contratação de Ferramenta de Gestão de Projetos N0258
A0067 Contratação de ferramenta de mapeamento de processos N0376
Contratação de ferramenta para classificação e monitoramento
A0068 de dados sensíveis, incidentes de segurança e alerta em tempo N0270
real
A0070 Contratação de links de telecomunicação para o SINESP N0167
N0180
A0071 Contratação de manutenção do SINESP
N0192
Contratação de manutenção preventiva e corretiva das Centrais
A0072 N0563
VoIP do DEPEN e seus terminais
A0073 Contratação de nuvem privada para o SINESP Big Data N0163
N0009
A0074 Contratação de pessoal de apoio de TIC N0010
N0011
A0075 Contratação de serviço de dados de Internet móvel N0501
A0076 Contratação de serviço de métrica de software N0211
A0077 Contratação de serviço de SOC N0264
A0078 Contratação de serviços de analytics N0208
A0079 Contratação de serviços de nuvem Oracle N0277
A0080 Contratação de sistema alternativo de comunicação N0561
A0081 Contratação de sistema de gerenciamento de biblioteca N0154
Contratação de sistema de gerenciamento de consultas e de
A0082 N0155
estoque de medicamentos
Contratação de sistema de Gerenciamento de Informações de
A0083 N0235
Laboratório
A0084 Contratação de sistema de Gestão de Frota N0186
A0086 Contratação de sistema SINESP CAD N0193
A0087 Contratação de sistema SINESP Delegacia Virtual N0182
A0088 Contratação de sistema SINESP Infoseg N0161
A0089 Contratação de sistema SINESP Integração N0178
A0091 Contratação de sistema SINESP PPE N0175
A0092 Contratação de sistema SINESP Segurança N0176
A0093 Contratação de solução de telemetria veicular N0171
Contratação de suporte para software open source de
A0094 N0435
infraestrutura de TIC
N0202
A0095 Contratação de suporte para usuários de sistemas críticos
N0247
A0096 Contratação de suporte técnico para a solução Netbackup N0448
Desenvolvimento de API para acesso a Base de Dados do
A0097 N0555
Sistema Gestão Ágil
Desenvolvimento de formulário eletrônico para coleta de
A0098 N0157
informações prisionais
A0099 Desenvolvimento de Front End para o CNCP N0158
59
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 391
Código Necessidades
Descrição Ação
Ação Atendidas
Desenvolvimento de Painel de BI de Transferências Voluntárias
A0100 N0564
e Obrigatórias de recursos para segurança pública.
A0101 Desenvolvimento de painel de BI para a Contabilidade N0241
A0102 Desenvolvimento de painel de BI para a SENAD N0423
A0103 Desenvolvimento de painel de BI para o PEI N0326
A0104 Desenvolvimento de painel de BI para o Portal SINESP N0164
Desenvolvimento de sistema de gerenciamento de processos
A0105 N0572
licitatórios
Desenvolvimento de sistema de gestão das transferências
A0106 N0414
Fundo a Fundo
Desenvolvimento de sistema de gestão de competências a
A0107 N0280
partir do SGC
Desenvolvimento de Sistema de Gestão de Convênios e
A0108 N0529
Contratos de Repasse
Desenvolvimento de sistema de Gestão de Logística para o
A0109 N0188
SINESP (Intranet)
A0110 Desenvolvimento de sistema de Gestão e Controle de Efetivo N0530
Desenvolvimento de sistema de monitoramento das obras
A0112 N0409
prisionais
A0113 Desenvolvimento de sistema de OSCIPs e OEs N0345
Desenvolvimento de sistema para recebimento e
A0114 N0408
gerenciamento das propostas de parcerias da SENAD
A0115 Desenvolvimento de sistema SIAN (AN) N0006
A0116 Desenvolvimento de sistema SIGA (AN) N0005
A0117 Desenvolvimento de sistema SINESP Agente de Campo N0185
A0118 Desenvolvimento de sistema SINESP Auditoria N0177
A0119 Desenvolvimento de sistema SINESP Cidadão N0179
A0120 Desenvolvimento de sistema SINESP Perícia N0181
A0121 Desenvolvimento de sistema SINESP VDE N0184
A0122 Desenvolvimento de solução analytics - SINESP Big Data N0160
A0123 Desenvolvimento de solução analytics - SINESP DW Análise N0165
Desenvolvimento de solução de fluxo de informação para
A0124 N0382
Corregedoria Digital
A0125 Desenvolvimento de solução de fluxo de informação para o PEI N0294
A0126 Desenvolvimento do sistema Córtex N0162
A0127 Disponibilização de ambiente Moodle N0325
Disponibilização de infraestrutura e serviços de nuvem para a
A0128 N0351
Rede-Lab
Disponibilização de solução para gerenciamento e N0268
A0129
acompanhamento de metas e indicadores N0293
A0130 Elaboração de normativos de SIC N0248
N0413
N0559
Especificação e aquisição de sistema de monitoramento para os
A0131 N0565
presídios federais
N0566
N0579
A0132 Evolução do sistema Desarma N0226
A0133 Evolução do sistema estratégia.mj/CIVIS N0386
60
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 392
Código Necessidades
Descrição Ação
Ação Atendidas
A0134 Evolução do sistema ORCRIM N0506
A0135 Evolução do sistema SIMAP N0343
A0136 Evolução do sistema SINESP SAIE N0183
Execução de serviços e controles de Segurança da Informação e
A0137 N0252
Comunicação no MJSP
A0138 Homologação de solução para fragmentação de vídeos N0444
Identificação de vulnerabilidades de SIC nos ativos de TIC do
A0139 N0251
MJSP
A0140 Implantação da plataforma Resoluto N0309
Implantação de indicadores e controles específicos de
A0141 N0261
monitoramento contínuo e da performance de SIC
A0142 Implantação de sistema de ponto eletrônico N0350
Implantação de solução de antivírus e antispam no Arquivo
A0143 N0004
Nacional
Implantação de solução de auditoria avançada para
A0144 N0002
gerenciamento de acesso à rede no Arquivo Nacional
Implantação de solução para monitoramento e gerenciamento
A0145 N0003
das aplicações no Arquivo Nacional
Implantação de solução para prevenção a perda de dados no
A0146 N0001
Arquivo Nacional
A0147 Implantação do Módulo de Gestão Documental do SEI N0513
A0148 Implantação do Módulo de Produtividade do SEI N0514
A0149 Implantação no MJSP de sistema para o Programa de Gestão N0275
A0150 Implementação de gestão de ativos de TIC N0250
A0151 Internalização de Sistema Eletrônico de Processos (PJe-Cor) N0385
A0152 Internalização de sistema Recall N0271
A0153 Internalização do sistema Consumidor.gov.br N0277
Migração do portal www.defesadoconsumidor.gov.br para o
A0154 N327
portal.gov.br
Mitigação de vulnerabilidades de Segurança da Informação e
A0155 N0254
Comunicação no MJSP
A0156 Planejamento da internalização do SINESP N0173
A0157 Realização de análises de segurança nos sistemas do MJSP N0253
Realização de TED com a UnB para definição, validação e
A0158 implantação inicial de um modelo de Governança de TIC no N0007
MJSP
Realização de TED com a UnB para realização de curso de
A0159 mestrado profissional em ciência, engenharia e segurança de N0008
dados
A0160 Realização de testes de segurança nos sistemas do MJSP N0256
Reconfiguração do layout do relatório de descoberta da
A0161 N0516
comunidade de legislação do Dspace
A0162 Replicação de base de dados do SINESP N0168
Aquisição de licenças de software para verificação de similaride
A0163 dos trabalhos científicos e demais produções acadêmicas dos N0010
integrantes do SUSP
Atualizações do Módulo de Barramento Interórgãos
A0165 N0014
(ConectaGov)
61
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 393
Código Necessidades
Descrição Ação
Ação Atendidas
A0166 Painel BI N0015
Tabela 4 - Ações para atendimento das necessidades de TIC
62
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 394
PLANO DE GESTÃO DE PESSOAS
63
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 395
da União, dos Estados, do Distrito Federal e dos Municípios, em
articulação com a sociedade.
Nesse cenário, o MJSP é o órgão central dessa estrutura e ator
fundamental na condução da PNSPDS, ao coordenar a atuação de todos
os integrantes operacionais do SUSP (Polícia Federal, Polícia Rodoviária
Federal, polícias civis, polícias militares, corpos de bombeiros militares,
guardas municipais, agentes penitenciários, institutos oficiais de
criminalística, medicina legal e identificação, entre outros).
De acordo com a referida Lei, são algumas das diretrizes da
PNSPDS (Art. 5º):
64
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 396
Nesse contexto, é imperioso que a Diretoria de Tecnologia da
Informação e Comunicação seja estruturada de forma a suportar as
demandas de projetos voltados à utilização de tecnologias de Big Data
Analytics, no âmbito do MJSP. Isso porque projetos dessa natureza
demandam, além de infraestrutura robusta, especialistas altamente
capacitados em diversas áreas da ciência da computação, a exemplo
de cibersegurança, arquitetura de sistemas distribuídos, arquitetura de
dados escaláveis, otimização de SGBD, processamento de fluxos
contínuos de dados, dentre outras habilidades, todas voltadas à
manutenção de ambiente capaz de coletar e processar grandes
volumes de dados, estruturados ou não estruturados.
65
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 397
montante em recursos financeiros, a complexidade dos contratos de
TIC envolvem a complexidade da tecnologia, da gestão de
especialistas, além de lidar com sistemas críticos, que exigem
operação ininterrupta (24/7), muitas vezes em regime de
urgência/emergência. Os sistemas desenvolvidos e/ou suportados pela
DTIC/MJSP atendem aos vários órgãos que integram o MJSP, tais como
SENACON, SENAD, SENASP, SENAJUS, além de mais de 250 (duzentos
e cinquenta) mil profissionais de segurança pública da União, estados
e municípios, como policiais federais, civis e militares, guardas
municipais, bombeiros, agentes penitenciários e peritos criminais.
A recorrência de eventos e incidentes de segurança indica a
necessidade de se reforçar os padrões e processos de segurança da
informação a fim de proteger o MJSP contra comportamentos hostis.
Nesse sentido, há a necessidade de reforço e qualificação do pessoal,
próprio e terceirizado, com perfil especializado em segurança da
informação.
A instituição do Comitê de Governança de Dados e Sistemas de
Informação, no âmbito do MJSP, em funcionamento desde o mês de
março/20, tem facilitado o compartilhamento de dados entre órgãos
do MJSP e outros órgãos da APF em níveis que superam todos os
alcançados anteriormente. Esse novo patamar de compartilhamento
de dados demandará da área de TIC do MJSP uma estrutura de pessoal
adequada para processar e atender às solicitações de
compartilhamento, em apoio ao Comitê de Governança de Dados e
Sistemas. Tal ação insere-se num contexto mais amplo de adequação
da área de TIC do MJSP a fim de se possibilitar às áreas de negócio a
tomada de decisões orientada a dados (data driven), aumentando a
efetividade das políticas públicas do Ministério. Essa nova orientação
da gestão demandará profissionais com competência para tratamento
e análise de dados, além de profissionais para a gestão dos processos
de compartilhamento de dados.
66
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 398
“a qualidade dos serviços prestados pelas
contratadas e, por conseguinte, dos sistemas
desenvolvidos, reflete de maneira direta no
desempenho das organizações, já que os sistemas
objeto de desenvolvimento/manutenção dão suporte
aos seus processos de trabalho. Nesse sentido, a
carência de pessoal capacitado para conduzir o
processo de gestão contratual, além da falta de
estrutura da organização contratante, prejudica
sobremaneira a realização de avaliação de qualidade
de forma sistemática.” (Auditorias na gestão de
contratos de TI / Tribunal de Contas da União,
Secretaria de Fiscalização de Tecnologia da
Informação; Relatoria Augusto, Sherman Cavalcanti,
Ministro-substituto. – Brasília: TCU, 2015).
67
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 399
10.5.2 Mestrado profissionalizante
68
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 400
Perfil Qtd Descrição Motivação
respeito dos normativos segurança da informação, em especial à
sobre o tema. Lei de Proteção de Dados.
69
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 401
do crescimento das atividades de análise, desenvolvimento e
descentralização das tarefas, surgiu a necessidade de complementá-la
com profissionais da área lotados em Brasília. Esses profissionais
seriam escalados para atuar nos projetos do AN na capital e apoiar as
atividades de TIC dos servidores de lá.
70
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 402
PLANO ORÇAMENTÁRIO
71
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 403
A0147 A0148 A0161 A0165 A0166
Melhoria da Governança e Gestão de TIC
A0066 A0067 A0129 A0141 A0158
Segurança da Informação e Comunicação
A0054 A0060 A0064 A0065 A0068 A0077 A0130 A0137 A0139 A0150
A0155 A0157 A0160
Orçamento externo à DTIC
A0003 A0004 A0005 A0006 A0007 A0011 A0013 A0015 A0016 A0018
A0020 A0021 A0022 A0023 A0025 A0027 A0030 A0031 A0032 A0033
A0034 A0036 A0039 A0041 A0043 A0053 A0055 A0056 A0058 A0071
A0072 A0080 A0081 A0082 A0083 A0084 A0086 A0087 A0088 A0089
A0091 A0092 A0093 A0131 A0143 A0144 A0145 A0146
Tabela 9 - Ações vinculadas às áreas de atuação
72
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 404
PLANO DE GESTÃO DE RISCOS
73
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 405
Probabilidade Impacto Criticidade
Média Médio Média
Média Baixo Baixa
Baixa Alto Média
Baixa Médio Baixa
Baixa Baixo Baixa
Tabela 10 - Matriz de Probabilidade x Impacto
74
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 406
Identificação Matriz Estratégia
Id Descrição do Risco Probabilidade Impacto Criticidade Tratamento Resposta Responsável
Realização de concursos
Quantitativo
temporário para a área de
inadequado de recursos
R TIC, solicitação de ATIs ao Alta Gestão do
humanos para a execução Alta Alto Alta Mitigar
1 ME e requisição de MJSP e DTIC
e acompanhamento do
servidores / empregados
PDTIC
públicos
Atraso na realização Readequar o uso dos
Rde novo processo recursos humanos
Alta Alto Alta Mitigar DTIC
2 seletivo de servidores existentes e priorizar as
temporários demandas estratégicas
Adequar o uso da
Falta de patrocínio da Alta estrutura
R
Gestão do Ministério para Baixa Baixo Baixa Aceitar existente e priorizar as DTIC
3
executar o PDTIC demandas
estratégicas
Ausência de recursos
R Executar as ações do PDTIC
orçamentários ou Baixa Alto Média Aceitar DTIC
4 que forem possíveis
financeiros
Manter o Comitê de
Governança de TIC
operante, visando ao
Descumprimento da
R acompanhamento das
priorização estabelecida Baixa Alto Média Eliminar Alta Gestão
5 ações do PDTIC, não
no PDTIC
executando qualquer ação
que não esteja priorizada
no PDTIC
75
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 407
Identificação Matriz Estratégia
Id Descrição do Risco Probabilidade Impacto Criticidade Tratamento Resposta Responsável
Realizar ações de
Falta de conhecimento
R capacitação previstas no
técnico da equipe da DTIC Média Alto Alta Mitigar DTIC
6 Plano de Gestão de
para a execução do PDTIC
Desenvolvimento
Priorização do processo de
RMorosidade na execução
Alta Alto Alta Mitigar contratação junto às áreas Alta Gestão
7 do processo licitatório
competentes
Estar aderente à legislação
Atraso ou Suspensão do e às boas práticas de
R
processo licitatório em Média Alto Alta Mitigar contratações, sempre DTIC
8
face de impugnações alinhado à Área Jurídica do
MJSP
Mudanças no cenário
R Adequar o PDTIC no que
Político ou na legislação Média Alto Alta Aceitar DTIC
9 for necessário
vigente
Empreender ações,
Incapacidade de execução
R criação, acompanhamento
contratual pelas empresas Média Alto Alta Mitigar DTIC
10 ou não renovação de
contratadas da DTIC
contratos
Não atualização do Empreender ações prévias
R
parque computacional Baixa Alto Média Mitigar para que a atualização DTIC
11
(Desktop e Notebooks) ocorra no tempo correto
Acompanhar
Baixa qualidade dos continuamente a
Rserviços prestados pelas qualidade dos serviços
Média Alto Alta Mitigar DTIC
12 terceirizadas sob a gestão prestados e executar
da DTIC ajustes imediatos,
aplicando sanções cabíveis
76
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 408
Identificação Matriz Estratégia
Id Descrição do Risco Probabilidade Impacto Criticidade Tratamento Resposta Responsável
Realizar um planejamento
da contratação efetivo,
definindo os ANS –
Desinteresse da
R Acordos de Nível de
prestadora de serviços em Baixa Alto Média Mitigar DTIC
13 Serviço - e o salário dos
renovar o contrato.
prestadores de acordo
com os padrões de
mercado.
Tabela 12 - Plano de Gestão de Riscos
Importante ressaltar que este Plano de Gestão de Riscos ainda não está alinhado ao Modelo de Gerenciamento
de Riscos e Controles Internos do MJSP. Este está baseado na estrutura do COSO ERM, na Norma Internacional ISO
31000/2009 e nas boas práticas adotadas no setor público.
Sendo assim, será revisto e alinhado ao Modelo de Gerenciamento de Riscos e Controles Internos do MJSP na
próxima revisão deste PDTIC.
77
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 409
MONITORAMENTO E AVALIAÇÃO DO PLANO
78
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 410
CONCLUSÃO
79
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 411
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 412
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 413
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 414
UASG 200005 Matriz de Gerenciamento de Riscos 27/2021
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 415
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 416
Anexo I - M Estudo Técnico Preliminar Digital (17166682) SEI 08006.000003/2021-38 / pg. 417
17/09/2021 13:09 PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - DOU - Imprensa Nacional
II - nos casos de contratações em que sejam celebrados termos aditivos para prorrogação da
prestação de serviços continuados ou para efetivar acréscimos legais ao preço, ao ser atingida a alçada
prevista no inciso I, pelo somatório dos valores.
II - contribuir para a redução dos riscos de práticas ilegais ou irregulares que possam gerar atos
lesivos ou potencialmente lesivos aos princípios da administração pública, ao erário e à imagem do
Ministério da Justiça e Segurança Pública;
Art. 3º Deverá haver previsão expressa nos editais de licitação e em documentação prévia às
contratações de que as empresas contratadas deverão se comprometer a implantar Programa de
Integridade ou adequar seu Programa de Integridade já existente ao previsto nesta Portaria.
Art. 4º Os termos de referência e projetos básicos das contratações deverão conter cláusulas
específicas com as obrigações deste Ministério e da empresa contratada relativamente às exigências de
integridade, nos seguintes moldes:
I - das obrigações dos órgãos do Ministério da Justiça e Segurança Pública e seus agentes
públicos:
https://www.in.gov.br/web/dou/-/portaria-n-513-de-15-de-setembro-de-2020-277666391 1/3
Anexo I-N Portaria 513 (15854486) SEI 08006.000003/2021-38 / pg. 418
17/09/2021 13:09 PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - DOU - Imprensa Nacional
b) para contratos de prestação de serviços com regime de dedicação exclusiva de mão de obra,
não praticar atos tendentes a gerar vínculo empregatício entre os empregados da empresa contratada e o
Ministério, vedando-se qualquer relação entre estes que caracterize pessoalidade e subordinação direta,
atentando-se às vedações explícitas no art. 5º da Instrução Normativa SEGES/MPOG nº 5, de 26 de maio
de 2017; e
c) notificar a empresa contratada, por escrito, sobre desvios de conduta, irregularidades, fraudes
ou atos ilícitos, praticados na execução do contrato; e
e) substituir com presteza qualquer profissional que tenha cometido desvios de conduta,
irregularidades, fraudes e atos ilícitos, conforme observado e notificado pelo agente público competente;
https://www.in.gov.br/web/dou/-/portaria-n-513-de-15-de-setembro-de-2020-277666391 2/3
Anexo I-N Portaria 513 (15854486) SEI 08006.000003/2021-38 / pg. 419
17/09/2021 13:09 PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - PORTARIA Nº 513, DE 15 DE SETEMBRO DE 2020 - DOU - Imprensa Nacional
i) cumprir e exigir que os empregados alocados para a execução do contrato nas repartições
administrativas cumpram, no que couber, as regras estabelecidas pelos órgãos do Ministério da Justiça e
Segurança Pública.
Art. 7º O descumprimento das obrigações previstas nesta Portaria ensejará aplicação das
penalidades previstas e acordadas no contrato ou de penalidades de natureza administrativa, no caso dos
agentes públicos.
Art. 8º Esta Portaria deverá constar como anexo dos editais referentes às licitações e
contratações, inclusive em potencial, de que tratam os incisos do parágrafo único do art. 1º.
https://www.in.gov.br/web/dou/-/portaria-n-513-de-15-de-setembro-de-2020-277666391 3/3
Anexo I-N Portaria 513 (15854486) SEI 08006.000003/2021-38 / pg. 420
MINUTA
17243768 08006.000003/2021-38
MINUTA DE CONTRATO
PROCESSO Nº 08006.000003/2021-38
A União, representada pelo MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA , com sede à Esplanada
dos Ministérios, CEP 70064-900, Brasília/DF, inscrito no CNPJ sob o n° 00.394.494/0013-70, neste ato
representado pelo Diretor de Tecnologia da Informação e Comunicação, Senhor RODRIGO LANGE ,
brasileiro, casado, portador do RG nº 38542508 - SSP PR e CPF nº 017.698.019-95, nomeado por meio
da Portaria n° 29 de 2 de janeiro de 2019, publicada no D.O.U de 2 de janeiro de 2019 - Edição Extra, e
com delegação de competência fixada pela Portaria SE nº 77, de 17 de janeiro de 2020, publicada no
D.O.U. de 20 de janeiro de 2020, e pela Coordenadora-Geral de Licitações e Contratos,
Senhora DÉBORA DE SOUZA JANUÁRIO, brasileira, solteira, portadora do RG nº 3.558.79980–SSP/SP e
do CPF nº 712.315.791-53, nomeada pela Portaria n°1.087, de 06 de novembro de 2015, publicada no
D.O.U de 09 de 2015, com delegação de competência fixada pela Portaria SAA nº 37, de 10 de
novembro de 2020, publicada no D.O.U de 11 de novembro de 2020, doravante
denominada CONTRATANTE, e a Empresa XXXXXXXXXXXXXXXXX., inscrita no CNPJ n° XXXXXXXXXX e
inscrição estadual n° XXXXXXXX, estabelecida XXXXXXXXXXX - CEP XXXXXXX, neste ato representada
pelo Senhor xxxxxxx, CPF n° xxxxxxx, RG n° xxxxxx, doravante denominada CONTRATADA, tendo em
vista o que consta no Processo nº 08006.000003/2021-38, e em observância às disposições da Lei nº
8.666, de 21 de junho de 1993, da Lei nº 10.520, de 17 de julho de 2002, da Lei nº 8.248, de 22 de
outubro de 1991, do Decreto nº 9.507, de 21 de setembro de 2018, do Decreto nº 7.174, de 12 de maio
de 2010, da Instrução Norma va SGD/ME nº 1, de 4 de Abril de 2019 e da Instrução Norma va
Minuta de Contrato CCONT 17243768 SEI 08006.000003/2021-38 / pg. 421
SEGES/MPDG nº 5, de 26 de maio de 2017 e suas alterações, resolvem celebrar o presente Termo de
Contrato, decorrente do Pregão Eletrônico nº ........../20...., mediante as cláusulas e condições a seguir
enunciadas.
1. CLÁUSULA PRIMEIRA – OBJETO
1.1. O objeto do presente instrumento é a contratação de empresa especializada, para o
fornecimento de Serviço de Centro de Operações de Segurança (Security Opera ons Center - SOC)
com funcionamento e suporte 24h por dia e 7 dias por semana, Serviço de tratamento e resposta
aos incidentes ciberné cos - CSIRT - Blue Team e Serviço de teste de invasão - Red Team, pelo
período de 24(vinte e quatro) meses, renováveis até o limite de 60 (sessenta) meses, para o
atendimento das necessidades da Diretoria de Tecnologia da Informação e Comunicação - DTIC do
Ministério da Jus ça e Segurança Pública - MJSP, conforme as especificações e demais condições de
execução contidas no Termo de Referência e seus anexos.
1.2. Este Termo de Contrato vincula-se ao Edital do Pregão, iden ficado no preâmbulo e à
proposta vencedora, independentemente de transcrição.
1.3. Objeto da contratação:
Código Métrica Regime
Descrição do Bem ou Valor Valor
Item SIASG Quantidade ou de Forma
Serviço Unitário Total
CATSER Unidade operação
Serviço de Security Unidade
1 26000 24 24x7 contínuo
Operations Center - SOC (Mensal)
Serviço de Tratamento e
Resposta aos Incidentes Unidade
2 26000 24 24x7 contínuo
Cibernéticos - CSIRT - Blue (Mensal)
Team
Serviço de Teste de
Unidade sob
3 26000 Invasão - Red Team: 217 N/A
(Alvo) demanda
Sistemas Web
Serviço de Teste de
Unidade sob
4 26000 Invasão - Red Team: 610 N/A
(Alvo) demanda
Infraestrutura
xxxxxxxxxxxxxxxxxxxxxxx
Representante da Contratada
TESTEMUNHAS:
1. NOME:
CPF:
2. NOME:
CPF:
(local e data)
Observações:
1) Esta declaração deverá ser emitida em papel que identifique a licitante.
2) Esta declaração servirá apenas como modelo, o declarante deverá elaborar a sua contendo todos os
dados constantes da presente.
Anexo do Edital III - DECLARAÇÃO DE INEX.DE VÍNCULO FAMILIAR (17309079) SEI 08006.000003/2021-38 / pg. 427
Documento assinado eletronicamente por EDUARDO DE OLIVEIRA DA ROSA, Pregoeiro(a), em
22/02/2022, às 14:14, com fundamento no § 3º do art. 4º do Decreto nº 10.543, de 13 de
novembro de 2020.
Anexo do Edital III - DECLARAÇÃO DE INEX.DE VÍNCULO FAMILIAR (17309079) SEI 08006.000003/2021-38 / pg. 428