TERMO DE REFERÊNCIA - Prefeitura de São Paulo · invasão ilícita e não autorizada a ativos e informações (Teste de Invasão), serão executados internamente (qualquer ponto

Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br

CT 14 14 TR_PEN_Test_v5 29/08/2014 1/22

ANEXO I

TERMO DE REFERÊNCIA

OBJETO

CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA

PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE

VULNERABILIDADES DE SEGURANÇA

Contratação de suporte para estruturação da segurança da informação, incluindo,

diagnósticos, análises, avaliações e testes de penetração (Intrusão) com

fornecimento de relatórios específicos de avaliação de vulnerabilidades expostas em

aplicações no ambiente WEB.

Será contratado banco de horas, onde através de OS (Ordem de Serviço) serão

debitadas as horas devidas para cada análise.

Antes de cada solicitação de OS a Contratada e a Contratante fecharão o escopo da

análise, bem como definição das horas consumidas.

Dentro das horas firmadas nas OS´s estarão computadas todas as etapas dos testes,

desde execução e apresentação dos relatórios.

A OS somente será considerada aberta após fechamento do escopo e das horas

consumidas, com aval das partes.

TABELA DE COMPOSIÇÃO DOS ITENS Item Características Quantidade

1 Atividades Técnicas de Avaliação de Vulnerabilidade

Teste de Penetração (Pentest) 1000 horas


CT 14 14 TR_PEN_Test_v5 29/08/2014 2/22

DESCRIÇÃO DETALHADA PARA TESTES DE PENETRAÇÃO (Pentest)

1.1. A atividade de Testes de Invasão poderá ser do tipo Externo e

Interno e terá como objetivo principal identificar, mapear, documentar,

controlar e corrigir possíveis vulnerabilidades nos sistemas, processos e

ativos de infraestrutura tecnológica. Estes testes envolvem,

necessariamente, o uso de técnicas e ferramentas específicas para

tentar obter acesso não autorizado e privilegiado aos ativos e

informações. Para a realização dos testes de invasão deverão ser

observadas as orientações e técnicas emanadas pelos seguintes

padrões internacionais, além de outros apresentados pela empresa

contratada, caso haja, em seu portfólio, normativos que,

comprovadamente, complementem os demonstrados abaixo:

1.1.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual);

1.1.2. ISSAF/PTF (Information Systems Security Assessment Framework);

1.1.3. NIST Special Publication 800-115 (Technical Guide to Information

Security Testing and Assessment);

1.1.4. NIST Special Publication 800-42 (Guideline on Network Security

Testing);

1.1.5. OWASP TESTING GUIDE 3.0 - The Open Web Application Security

Project.

1.2. O teste de invasão deverá obedecer às seguintes fases:

1.2.1. Planejamento;

1.2.2. Descoberta;

1.2.3. Ataque (exploração);

1.2.4. Relatório de recomendações;


CT 14 14 TR_PEN_Test_v5 29/08/2014 3/22

1.2.5. Reunião para apresentação do relatório de recomendações e

descrição das atividades executada durante o teste

1.2.6. Reavaliação, novo teste pós remediação

1.2.7. Relatório final pós remediação

1.3. A Contratada deverá observar que os testes, simulações de

invasão ilícita e não autorizada a ativos e informações (Teste de

Invasão), serão executados internamente (qualquer ponto da rede

corporativa da Prefeitura da Cidade de São Paulo definido pela

Contratada) ou externamente (através da Internet).

1.4. Os alvos dos “Testes de Invasão” bem como as premissas e

condições para realização dos mesmos serão, necessariamente,

definidos e aprovados.

1.5. Todas as fases dos “Testes de Invasão” serão acompanhadas e

supervisionadas a critério da CONTRATANTE.

1.6. Quaisquer atividades com suspeita de comprometimento de algum

ambiente ou ativo deverá ser imediatamente reportada, antes de sua

execução, haja vista a necessidade de manter a disponibilidade dos

ambientes e serviços ativos.

1.7. Deverá ser utilizada, pelo menos, 01 (uma) ferramenta de análise

de vulnerabilidade comercial e 01 (uma) ferramenta de análise de

vulnerabilidade gratuita, além de técnicas manuais de análise de

vulnerabilidade. As ferramentas deverão ser apresentadas para ciência e

aprovação em sua utilização, antes de sua efetiva utilização, assim como

a metodologia para análise manual de vulnerabilidades.

1.7.1. A ferramenta de análise de vulnerabilidade comercial deverá

contemplar, ao menos, as seguintes características:


CT 14 14 TR_PEN_Test_v5 29/08/2014 4/22

1.7.1.1. Prover identificação e correlação de ameaças, além de avaliar o

potencial risco das vulnerabilidades encontradas;

1.7.1.2. Fornecer evidências de ativos “não vulneráveis” através de provas

conclusivas como:

1.7.1.2.1. Resultados de varreduras esperados e obtidos;

1.7.1.2.2. Lista de ativos não analisados;

1.7.1.2.3. Falhas nas varreduras;

1.7.1.3. A solução de análise de vulnerabilidades não deve ser baseada na

necessidade de instalação prévia de agentes no ambiente corporativo;

1.7.1.4. Resultados de varredura enviados para o banco de dados através

da rede corporativa devem ser criptografados;

1.7.1.5. Fornecer cobertura de conteúdo para executar verificações com

autenticação e sem autenticação;

1.7.1.6. Suportar métricas de pontuação baseadas em risco;

1.7.1.7. Suportar o armazenamento seguro de credenciais, para uso em

varreduras autenticadas, usando as credenciais para se autenticar em

sistemas Windows, UNIX ou qualquer ativo de infraestrutura, tais

como dispositivos de rede, etc.;

1.7.1.8. Permitir o acesso seguro ao back-end do banco de dados de modo

a permitir a mineração de dados para possíveis relatórios

personalizados que sejam solicitados;


CT 14 14 TR_PEN_Test_v5 29/08/2014 5/22

1.7.1.9. Deve ser certificado pelo EAL Common Criteria e validar a

criptografia FIPS-140-2;

1.7.1.10. O processo de varredura deve ter um impacto mínimo sobre a rede,

não superior a 10 Mbps de tráfego;

1.7.1.11. Permitir o ajuste de desempenho para adequar a quantidade de

banda consumida na rede durante a varredura de análise de

vulnerabilidades, tanto para a realização de varreduras que consumam

menos recursos, como para a realização de varreduras mais rápidas

que consomem mais recursos;

1.7.1.12. A descrição de vulnerabilidade deve possuir no mínimo os

seguintes detalhes:

1.7.1.12.1. Nome

1.7.1.12.2. Nível de Risco

1.7.1.12.3. Intrusiva (sim / não)

1.7.1.12.4. Descrição

1.7.1.12.5. Observação

1.7.1.12.6. Recomendação de Remediação

1.7.1.12.7. Link do patch ou da correção

1.7.1.12.8. Número CVE

1.7.1.12.9. SANS / FBI referência Top 20


CT 14 14 TR_PEN_Test_v5 29/08/2014 6/22

1.7.1.12.10. IAVA (Information Assurance Vulnerability Alert) Referência

1.7.1.13. Realizar análise de vulnerabilidades segundo as seguintes

tecnologias:

1.7.1.13.1. XCCDF

1.7.1.13.2. OVAL

1.7.1.13.3. CVSS

1.7.1.13.4. CVE

1.7.1.13.5. CPE

1.7.1.13.6. CCE

1.7.1.14. Fornecer extensão para varredura de aplicações Web totalmente

integrada a solução de análise de vulnerabilidades;

1.7.1.15. Possuir capacidade de descoberta e geração de inventário de

servidores e aplicações Web através do rastreamento (crawling) de

servidores Web e seus conteúdos, a fim de identificar e analisar seu

conteúdo, resultando em uma lista categorizada de servidores Web e

os objetos que residem neles;

1.7.1.16. Fornecer visualização da aplicação web através de relatório de

'mapa do site';

1.7.1.17. Fornecer análise detalhada de scripts e páginas estáticas

descobertas em servidores web analisados que reflete as strings de


CT 14 14 TR_PEN_Test_v5 29/08/2014 7/22

conexão de banco de dados, endereços de e-mail, campos de

formulário ocultos e outros itens potencialmente sensíveis;

1.7.1.18. Suporte para Web 2.0 / JavaScript;

1.7.1.19. Suportar autenticação para varredura de aplicações web protegidas

por credenciais;

1.7.1.20. Gerar relatórios que ilustrem: request made, injection point,

response given;

1.7.1.21. Fornecer suporte para Varredura em 'modo seguro'.

1.8. Deverá realizar testes de vulnerabilidades e invasão em endereços

IP’s, URL´s, aplicações, ou outro ativo definido do ambiente

computacional, composto por servidores, banco de dados, ativos de rede

e outros equipamentos relacionados ao teste de invasão.

1.9. Deverá ser elaborado o “PLANO DE TESTE DE PENETRAÇÃO”,

para cada teste que será realizado, contemplando as informações de

PLANEJAMENTO do teste, tais como:

1.9.1. Objetivos, premissas e escopo do teste, datas e horas dos testes,

metodologia de análise de vulnerabilidades, descrição das ações

realizadas, metodologias, vulnerabilidades encontradas, categorização

e severidade das vulnerabilidades, possíveis problemas aplicáveis,

recomendações e controles de segurança necessários para correção

das vulnerabilidades, apresentação das evidências apuradas, fontes

de pesquisa, referências e ferramentas utilizadas.

1.9.2. Também na fase de planejamento, deverão ser atendidas e

apresentadas, no mínimo, as seguintes informações:


CT 14 14 TR_PEN_Test_v5 29/08/2014 8/22

1.9.2.1. Detalhes da infraestrutura alvo dos testes de invasão;

1.9.2.2. Equipamentos e recursos demandados para este teste;

1.9.2.3. Tipos de ataque;

1.9.2.4. Prazos (janelas de tempo para execução dos testes);

1.9.2.5. Pontos de contato da contratada (responsáveis para tratamento de

questões não abordadas nos testes);

1.9.2.6. Tipos de testes a serem realizados pelos especialistas em

segurança da informação, devendo-se observar:

1.9.2.6.1. Quanto à abordagem:

1.9.2.6.1.1. Coletar informações sobre o ambiente corporativo,

utilizando-se das seguintes técnicas;

1.9.2.6.1.2. Técnica da caixa-preta (pouco ou nenhum conhecimento

sobre o ambiente a ser avaliado. O ambiente deverá ser

descoberto pelo especialista);

1.9.2.6.1.3. Técnica da caixa branca (o avaliador tem acesso irrestrito a

qualquer informação que possa ser relevante ao teste);

1.9.2.6.1.4. Técnica da caixa cinza ou híbrida (conhecimento limitado

sobre o alvo);

1.9.2.6.2. Quanto à forma de publicidade:


CT 14 14 TR_PEN_Test_v5 29/08/2014 9/22

1.9.2.6.2.1. Teste informado;

1.9.2.6.2.2. Teste não informado;

1.9.2.6.2.3. Informações detalhadas dos testes em si;

1.9.3. Na fase da DESCOBERTA deverão ser atendidos os seguintes

quesitos e apresentado “RELATÓRIO DE DESCOBERTA DE TESTE

DE PENETRAÇÃO”, entre outros:

1.9.3.1. Coleta de informações, sendo classificadas em:

1.9.3.2. Coleta passiva, onde deverá ser utilizada, no mínimo, as seguintes

técnicas:

1.9.3.3. Whois e nslookup (consultas DNS);

1.9.3.4. Sites de busca;

1.9.3.5. Listas de discussão;

1.9.3.6. Blogs de colaboradores;

1.9.3.7. Dumpster diving ou trashing;

1.9.3.8. Informações livres;

1.9.3.9. Packet sniffing “passive eavesdropping”;

1.9.3.10. Captura de banner.


CT 14 14 TR_PEN_Test_v5 29/08/2014 10/22

1.9.3.11. Coleta ativa, onde deverá ser utilizada, no mínimo, as seguintes

técnicas:

1.9.3.11.1. Port scanning (Mapeamento de rede);

1.9.3.11.2. Varredura de vulnerabilidade.

1.9.3.12. A varredura de vulnerabilidade deverá verificar/identificar, entre

outros:

1.9.3.12.1. Hosts ativos na rede;

1.9.3.12.2. Portas e serviços em execução;

1.9.3.12.3. Serviços ativos e vulneráveis nos hosts;

1.9.3.12.4. Sistemas operacionais;

1.9.3.12.5. Vulnerabilidades associadas com sistemas operacionais e

aplicações descobertas;

1.9.3.12.6. Configurações feitas nos hosts sem observância de boas

práticas em segurança computacional;

1.9.3.12.7. Identificação de rotas e estimativa de impacto, caso estas

sejam modificadas/desconfiguradas;

1.9.3.12.8. Identificação de vetores de ataque e cenários para

exploração;

1.9.3.12.9. Vulnerabilidades Detectadas (CVE);


CT 14 14 TR_PEN_Test_v5 29/08/2014 11/22

1.9.3.12.10. Vulnerabilidades de Alto Risco;

1.9.3.12.11. Vulnerabilidades de Médio Risco;

1.9.3.12.12. Vulnerabilidades de Baixo Risco;

1.9.3.12.13. Informações a serem aplicadas na 3ª fase (fase de ataques);

1.9.3.13. Dos serviços e aplicações web:

1.9.3.13.1. Uso indevido de sistema de arquivos e arquivos temporários;

1.9.3.13.2. Evasão de informação por configurações default de

tratamento de erros;

1.9.3.13.3. Tratamento indevido de entrada;

1.9.3.13.4. Problemas relacionados à má configuração dos serviços;

1.9.3.13.5. Gerenciamento inseguro de sessões web;

1.9.4. Na fase de ATAQUE deverão ser apresentadas, dentro do

“RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO”, as

seguintes informações:

1.9.4.1. Confirmação ou refutação de a existência de vulnerabilidades;

1.9.4.2. Documentação sobre o caminho utilizado para exploração,

avaliação do impacto e prova da existência da vulnerabilidade;

1.9.4.3. Obtenção de acesso e possível escalada de privilégios;


CT 14 14 TR_PEN_Test_v5 29/08/2014 12/22

1.9.4.4. Deverão ser aplicados, no mínimo, os seguintes tipos de ataques:

1.9.4.4.1. Violações do protocolo HTTP;

1.9.4.4.2. SQL Injection;

1.9.4.4.3. LDAP Injection;

1.9.4.4.4. Cookie Tampering;

1.9.4.4.5. Cross-Site Scripting (XSS);

1.9.4.4.6. Directory Transversal;

1.9.4.4.7. Buffer Overflow;

1.9.4.4.8. OS Command Execution;

1.9.4.4.9. Command Injection;

1.9.4.4.10. Remote Code Inclusion;

1.9.4.4.11. Server Side Includes (SSI) Injection;

1.9.4.4.12. File disclosure;

1.9.4.4.13. Information Leak;

1.9.4.4.14. Zero day attacks;

1.9.4.4.15. DDos (Distribuited Denial of Service);


CT 14 14 TR_PEN_Test_v5 29/08/2014 13/22

1.9.4.4.16. Dos (Denial of Service);

1.9.4.4.17. Contra protocolo TCP;

1.9.4.4.18. Ataques contra a aplicação.

1.9.4.5. Os ataques de negação de serviços, contra protocolo TCP e em

nível da aplicação deverão, cada qual, explorar/demonstrar/utilizar as

seguintes técnicas:

1.9.4.5.1. Para ataques de negação de serviços:

1.9.4.5.2. Bugs em serviços, aplicativos e sistemas operacionais;

1.9.4.5.3. SYN flooding;

1.9.4.5.4. Fragmentação de pacotes de IP;

1.9.4.5.5. Smurf e fraggle;

1.9.4.5.6. Teardrop, nuke e land.

1.9.4.5.7. Para ataques contra o protocolo TCP:

1.9.4.5.8. Sequestro de conexões;

1.9.4.5.9. Prognóstico de número de sequência do protocolo TCP;

1.9.4.5.10. Ataque de Mitnick;

1.9.4.5.11. Source routing.

1.9.4.5.12. Para ataques em nível da aplicação:


CT 14 14 TR_PEN_Test_v5 29/08/2014 14/22

1.9.4.5.13. Buffer Overflow ;

1.9.4.5.14. Problemas com o SNMP;

1.9.4.5.15. Vírus, worms e cavalos de Tróia.

1.9.4.6. Injeção de Código;

1.9.4.7. Ataques XSS (Cross-site Script);

1.9.4.8. Comprometimento do acesso remoto;

1.9.4.9. Manutenção de acesso;

1.9.4.10. Encobrimento de rastros da invasão;

1.10. Para testes de invasão direcionados, especificamente, aos serviços

prestados via WEB, tanto Intranet quanto Internet, deverão ser

observados e aplicados, os seguintes testes baseados na publicação

OWASP TESTING GUIDE 3.0 (The Open Web Application Security

Project):

1.10.1. Para testes de coleta de informações, aplicar padrão: OWASP-IG-

001, OWASP-IG-002, OWASPIG-003, OWASP-IG-004, OWASP-IG-

005 e OWASP-IG-006;

1.10.2. Para testes de gerenciamento de configuração, aplicar padrão:

OWASP-CM-001, OWASP-CM-002, OWASP-CM-003, OWASP-CM-

004, OWASP-CM-005, OWASP-CM-006, OWASP-CM-007,

OWASPCM-008;


CT 14 14 TR_PEN_Test_v5 29/08/2014 15/22

1.10.3. Para testes de autenticação, aplicar padrão: OWASP-AT-001,

OWASP-AT-002, OWASP-AT-003,OWASP-AT-004, OWASP-AT-005,

OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009

e OWASP-AT-010;

1.10.4. Para testes de gerenciamento de sessão, aplicar padrão: OWASP-

SM-001, OWASP-SM-001, OWASP-SM-002, OWASP-SM-003,

OWASP-SM-004, OWASPSM-005;

1.10.5. Para testes de autorização, aplicar padrão: OWASP-AZ-001,

OWASP-AZ-002 e OWASP-AZ-003;

1.11. Para testes de negócio lógico, aplicar padrão: OWASP-BL-001;

1.12. Para testes de validação de dados, aplicar padrão: OWASP-DV-

001; OWASPDV-002, OWASPDV-003, OWASP-DV-004, OWASP-DV-

005, OWASP-DV-006, OWASP-DV-007, OWASP-DV-008, OWASPDV-

009, OWASP-DV-010, OWASP-DV-011, OWASP-DV-012, OWASP-DV-

013, OWASP-DV-014, OWASPDV-015 e OWASP-DV-016;

1.13. Para testes de negação de serviços, aplicar padrão: OWASP-DS-

001, OWASP-DS-002, OWASPDS-003, OWASP-DS-004, OWASP-DS-

005, OWASP-DS-006, OWASP-DS-007 e OWASP-DS-008;

1.14. Para testes de serviços web, aplicar padrão: OWASP-WS-001,

OWASP-WS-002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005,

OWASP-WS-006 e OWASP-WS-007.

1.15. Observa-se que o resultado de cada teste deverá vir acompanhado

de relatórios contendo:

1.16. Referência-base (Whitepaper);


CT 14 14 TR_PEN_Test_v5 29/08/2014 16/22

1.17. Ameaças encontradas;

1.18. Riscos levantados ao ambiente computacional;

1.19. Contramedidas para mitigar as ameaças encontradas.

1.20. Após a entrega do relatório “RELATÓRIO DE ATAQUES DO

TESTE DE PENETRAÇÃO”, a CONTRATANTE terá até 60 dias para

aplicar as ações corretivas das vulnerabilidades relatadas, após esse

prazo a CONTRATADA terá 10 dias para refazer o ataque e emitir novo

relatório (“RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”),

apontando a remediação ou não das vulnerabilidades.

2. ATIVIDADES DE APOIO

2.1. PLANO DE TRABALHO com o detalhamento do escopo dos testes

e cronograma de execução;

2.2. RELATÓRIOS DE ACOMPANHAMENTO SEMANAIS do plano de

trabalho;

2.3. APRESENTAÇÃO INICIAL das ações a serem aplicadas pela

Contratada;

3. DEVERES E RESPONSABILIDADES DA CONTRATANTE

3.1. Proporcionar todas as facilidades para a Contratada executar o

fornecimento do objeto do presente Termo de Referência, permitindo o

acesso dos profissionais da Contratada às suas dependências. Esses

profissionais ficarão sujeitos a todas as normas internas da

CONTRATANTE, principalmente as de segurança, inclusive àquelas


CT 14 14 TR_PEN_Test_v5 29/08/2014 17/22

referentes à identificação, trajes, trânsito e permanência em suas

dependências;

3.2. Promover o acompanhamento e a fiscalização da execução do

objeto do presente Termo de Referência, sob o aspecto quantitativo e

qualitativo, anotando em registro próprio as falhas detectadas;

3.3. Comunicar prontamente à Contratada qualquer anormalidade na

execução do objeto, podendo recusar o recebimento, caso não esteja de

acordo com as especificações e condições estabelecidas no presente

Termo de Referência;

3.4. Fornecer à Contratada todo tipo de informação interna essencial à

realização dos fornecimentos e dos serviços;

3.5. Conferir toda a documentação técnica gerada e apresentada

durante a execução dos serviços, efetuando o seu atesto quando esta

estiver em conformidade com os padrões de informação e qualidade

exigidos;

3.6. Homologar os serviços prestados, quando estes estiverem de

acordo com o especificado no Termo de Referência;

3.7. Efetuar o pagamento à Contratada;

4. DEVERES E RESPONSABILIDADES DA CONTRATADA

4.1. Atender a todas as condições descritas no presente Termo de

Referência e respectivo Contrato;

4.2. Manter as condições de habilitação e qualificação exigidas durante

toda a vigência do Contrato;


CT 14 14 TR_PEN_Test_v5 29/08/2014 18/22

4.3. Responder pelas despesas relativas a encargos trabalhistas,

seguro de acidentes, contribuições previdenciárias, impostos e quaisquer

outras que forem devidas e referentes aos serviços executados por seus

empregados, uma vez que estes não têm nenhum vínculo empregatício

com a CONTRATANTE;

4.4. Abster-se, qualquer que seja a hipótese, de veicular publicidade ou

qualquer outra informação acerca das atividades objeto do Contrato, sem

prévia autorização da CONTRATANTE;

4.5. Dar ciência, imediatamente e por escrito, de qualquer anormalidade

que verificar na execução do objeto bem como prestar esclarecimentos

que forem solicitadas;

4.6. Manter sigilo absoluto sobre informações, dados e documentos

provenientes da execução do Contrato e também às demais informações

internas da CONTRATANTE a que a CONTRATATA tiver conhecimento;

4.7. Elaborar e apresentar documentação técnica dos fornecimentos e

serviços executados nas datas agendadas, visando sua homologação

pela CONTRATANTE;

4.8. Alocar profissionais devidamente capacitados e habilitados para os

serviços contratados;

4.9. A equipe de profissionais envolvida para exercer as funções, deve

possuir as seguintes certificações ou equivalentes:

4.9.1. Certificação CISSP – Certified Information Systems Security

Professional;


CT 14 14 TR_PEN_Test_v5 29/08/2014 19/22

4.9.2. Certificação CISM - Certified Information Security Manager;

4.9.3. Certificação CEH - Certified Ethical Hacker;

4.9.4. Certificação GISP – GIAC Information Security Professional;

4.9.5. Certificação GCIH – GIAC Certified Incident Handler;

4.9.6. Certificação GCIA – GIAC Certified Intrusion Analyst;

4.9.7. Certificação CRISC - Certified in Risk and Information Systems

Control;

4.9.8. Certificação ITIL Foundation – Information Technology Infrastructure

Library;

5. PRAZO

5.1. O prazo máximo para início dos serviços é de 30 dias a contar da data de

assinatura do Contrato;

5.2. O prazo para conclusão das Ordens de Serviço (OS), incluindo, diagnósticos,

análises, avaliações e testes com fornecimento de relatórios específicos de

avaliação de vulnerabilidades do ambiente relacionados neste Termo de

Referência é de no máximo 30 dias a partir do início das atividades, podendo

a CONTRATADA iniciar suas análises em até 5 dias úteis após abertura da

OS.

6. ACEITE

O aceite será emitido pela Contrata em até 5 dias corridos a partir da entrega


CT 14 14 TR_PEN_Test_v5 29/08/2014 20/22

do “RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”.

7. PAGAMENTO

A CONTRATANTE pagará a CONTRATADA pela Ordem de Serviço (OS)

executada, em até 30 dias após recebimento da fatura e aprovação com a

emissão do TERMO DE ACEITE emitido pela Contratante.

8. PENALIDADES

Caso haja atraso na entrega do relatório final, haverá multa de 1% por dia de

atraso, calculado sobre o valor do contrato global.

9. ATESTADO

A CONTRATADA deverá apresentar Atestado de Capacidade Técnica,

passado em papel timbrado, emitido por entidade pública ou privada, que

demonstre o correto cumprimento de obrigações da mesma natureza do objeto

do presente Edital.

Todos os atestados deverão ser emitidos por empresa que possuam no

mínimo 300 servidores em seu ambiente.

10. VALIDADE DO CONTRATO

O contrato terá validade de 36 meses, podendo ser renovado até o limite legal

da Lei 8666.

11. CONFIDENCIALIDADE

11.1. A CONTRATADA deverá zelar pelo sigilo de quaisquer informações

referentes à estrutura, sistemas, usuários, contribuintes, topologia, e ao modo

de funcionamento e tratamento das informações da CONTRATANTE, durante

e após fim do contrato, salvo se houver autorização expressa da Contratante


CT 14 14 TR_PEN_Test_v5 29/08/2014 21/22

para divulgação;

11.2. A CONTRATADA deverá assinar contrato de sigilo das informações

geradas e acessadas durante todo o processo de análise.

11.3. A não observância desse qualquer fato poderá ser considerada

espionagem e será motivo de processo civil e criminal conforme legislação

vigente.


CT 14 14 TR_PEN_Test_v5 29/08/2014 22/22

ANEXO II

ORDEM DE SERVIÇO – Nº

PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO

(PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA

CONTRATO Nº ................. PREGÃO 99.999/99

A presente ordem de serviço é celebrada em conformidade com o procedimento para

PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST)

E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA, previstos no Contrato Nº.........,

firmado entre a EMPRESA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO

MUNICÍPIO DE SÃO PAULO – PRODAM-S/A -SP e a CONTRATADA, em vigor desde ___

de ___________ de _______, sendo incorporada ao mesmo por referência.

Período Valor Total Quantidade de horas Início Fim

TOTAL GERAL

Para efeito do cumprimento desta ORDEM DE SERVIÇO a CONTRATANTE indica o

seguinte responsável:

Nome:

Gerência: Unidade: Matrícula:

Endereço:

Telefone: Fax:

São Paulo, ______ de _____________________ de 20__

CONTRATANTE CONTRATADA

Documents

TERMO DE REFERÊNCIA - Prefeitura de São Paulo · invasão ilícita e não autorizada a ativos e informações (Teste de Invasão), serão executados internamente (qualquer ponto