Embed Size (px)
Citation preview
1
#Pública
TERMO DE REFERÊNCIA – SOLUÇÕES DE TI
IMPORTANTE
• O cronograma estipulado deverá ser cumprido rigorosamente pelos fornecedores. Eventuais modificações nos prazos poderão ocorrer a critério do Banco do Brasil.
Etapa Data
Publicação 15/05/2020
Recebimento de dúvidas 21/05/2020
Esclarecimento de dúvidas 27/05/2020
Recebimento da Resposta 01/06/2020
• As dúvidas decorrentes da interpretação desta RFP deverão ser encaminhadas ao endereço eletrônico [email protected], com cópia para [email protected] sob o título: RFP – SOLUÇÃO DE NGIPS – DÚVIDA. As mensagens deverão conter a identificação da empresa, o nome do responsável e telefone para contato. Os esclarecimentos às dúvidas serão divulgados por esta mesma via.
• A resposta do fornecedor a esta consulta, por meio de Proposta Comercial, deve ser encaminhada em meio digital para os endereços eletrônicos citados acima, sob o título: RFP – SOLUÇÃO NGPIS – RESPOSTA, juntamente com a planilha de Precificação e qualquer documentação adicional julgada necessária.
• A Proposta Comercial deverá apresentar preços com base/formato da tabela apresentada no item 4.2.2 deste documento.
• Apreciaríamos ainda, a apresentação, caso haja, de sugestões de qualquer natureza, inclusive com indicação de cenários alternativos que possam vir a configurar melhoria e/ou vantajosidade ao Banco do Brasil.
Aquisição de Sistemas de Prevenção de Intrusões de Próxima Geração NGIPS (Next Generation Intrusion Prevention System) e gerência centralizada, com garantia técnica pelo período de 60 (sessenta) meses, de acordo com as especificações e detalhamentos deste documento.
2
#Pública
TERMO DE REFERÊNCIA PARA CONTRATAÇÃO DE SOLUÇÕES DE TI
1. Objeto:
1.1 Ata de Registro de Preços para aquisição de Sistemas de Prevenção de
Intrusões de Próxima Geração NGIPS (Next Generation Intrusion Prevention System) e gerência centralizada, com garantia técnica pelo período de 60 (sessenta) meses, de acordo com as especificações e detalhamentos deste documento.
1.2 O serviço a ser contratado é considerado relevante?
( ) Sim (X) Não
1.3 A presente demanda envolve a contratação de pelo menos um dos serviços
abaixo?
SIM NÃO
Processamento de dados ( ) (X)
Armazenamento de dados ( ) (X)
Computação em Nuvem ( ) (X)
2. Justificativas para contratação:
2.1 A aquisição de sistemas de NGIPS (Next Generation Intrusion Prevention System) para a rede do Banco do Brasil tem a finalidade de substituir o parque de equipamentos atual, considerando o vencimento da garantia do contrato de manutenção vigente até a data de 29/06/2020.
2.2 Os equipamentos que o Banco possui atualmente são da marca IBM (IBM Security Network Intrusion Prevention System), e foram declarados como em situação "End-of-life" (EOL)1, termo usado pelas empresas que indica que um produto está no fim de sua vida útil (do ponto de vista do fornecedor) e há a interrupção de sua comercialização e suporte. No caso dos dispositivos do Banco, a comercialização fora encerrada em janeiro de 20181 e o fim do suporte está programado para dezembro de 20221.
1 Fonte: https://www.ibm.com/support/docview.wss?uid=swg21644709
3
#Pública
3. Definições do procedimento licitatório:
3.1. Ata de Registro de Preços?
(X) Sim ( ) Não
3.2. Lote único?
( ) Sim (X) Não
3.2.1. Caso negativo, indique a quantidade de lotes? 4 lotes.
3.2.2. Indique as justificativas para a composição dos lotes:
A divisão de lotes visa aumentar a competitividade entre os concorrentes e pode promover possível redução de preço dos itens disputados.
3.2.3. Descrição dos itens:
LOTE 1
IPS TIPO 1 - 40 Gbps:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
1
70.10.010.680233
DISPOSITIVO DE SEGURANCA DE
TI
IPS TIPO 1
(40 Gbps)
Fibra(LC/SR)
10 GigE
(4 interfaces no
mínimo)
10
Descrição do item 1: 10 (dez) equipamentos, cada um com 40 Gbps de throughput com no mínimo 4 interfaces FIBRA de 10 GigE (Gigabit Ethernet) com seus respectivos transceivers. Para as conexões em fibra, considerar transceiver para conector de fibra LC, SR (short range) e multimodo.
4
#Pública
LOTE 2
IPS TIPO 2 - 20 Gbps:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
2
70.10.010.680233
DISPOSITIVO DE SEGURANCA DE
TI
IPS TIPO 2
(20 Gbps)
Fibra(LC/SR)
10 GigE
(4 interfaces no
mínimo)
16
Descrição do item 2: 16 (dezesseis) equipamentos, cada um com 20 Gbps de throughput com no mínimo 4 interfaces FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers. Para as conexões em fibra, considerar transceiver para conector de fibra LC, SR (short range) e multimodo.
IPS TIPO 3 - 10 Gbps:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
3
70.10.010.680233
DISPOSITIVO DE SEGURANCA DE TI
IPS TIPO 3
(10 Gbps)
Fibra(LC/SR)
10 GigE
(4 interfaces no
mínimo)
20
Descrição do item 3: 20 (vinte) equipamentos, cada um com 10 Gbps de throughput com no mínimo 4 interfaces FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers. Para as conexões em fibra, considerar transceiver para conector de fibra LC, SR (short range) e multimodo.
LOTE 3
IPS TIPO 4 - 1 Gbps - Virtual:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/appliance)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
4
70.30.010.172475
SOFTWARE DE SEGURANCA
IPS TIPO 4
(1 Gbps)
Appliance Virtual 30
Descrição do item 4: 30 (trinta) appliances virtuais, cada um com 1 Gbps de
throughput.
5
#Pública
LOTE 4
Item 5 – IPS TIPO 5 - 6 Gbps com SSL:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
5
70.10.010.680233
DISPOSITIVO DE SEGURANCA
DE TI
IPS TIPO 5
(6 Gbps com SSL)
Fibra(LC/SR)
10 GigE
(2 interfaces no mínimo)
1 GigE
(2 interfaces no mínimo)
1 GigE
(4 interfaces RJ-45
1GigE)
20
Descrição do item 5: 20 (vinte) equipamentos, cada um com 6 Gbps de SSL Inspection Throughput com no mínimo 2 (duas) interfaces FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers, 2 (duas) interfaces FIBRA 1GigE (Gigabit Ethernet), 4 (quatro) interfaces FIBRA 1GigE (Gigabit Ethernet) e 4 (quatro) interfaces RJ-45 1GigE (Gigabit Ethernet). Para as conexões em fibra, considerar transceiver para conector de fibra LC, SR (short range) e multimodo.
Item 6 – IPS TIPO 6 - 3 Gbps com SSL:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
6
70.10.010.680233
DISPOSITIVO DE
SEGURANCA DE TI
IPS TIPO 6
(3 Gbps com SSL)
Fibra(LC/SR)
10 GigE
(2 interfaces no mínimo)
1 GigE
(2 interfaces no mínimo)
1 GigE
(4 interfaces RJ-45
1GigE)
20
Descrição do item 6: 20 (vinte) equipamentos, cada um com 3 Gbps de SSL Inspection Throughput, com no mínimo 2 (duas) interfaces FIBRA de 10Gbps em cada equipamento com seus respectivos transceivers, 2 (duas) interfaces FIBRA 1GigE (Gigabit Ethernet) e 4 (quatro) interfaces RJ-45 1GigE (Gigabit Ethernet). Para as conexões em fibra, considerar transceiver para conector de fibra LC, SR (short range) e multimodo.
(fim dos lotes)
6
#Pública
Item 7 – Gerenciador appliance virtual:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
7
70.30.010.172475
SOFTWARE DE SEGURANCA
Gerenciador NGIPS Appliance Virtual 2
Descrição do item 7: Appliance Virtual, capaz de gerenciar os equipamentos NGIPS.
Item 8 – Gerenciador appliance físico:
ITEM CÓDIGO PBMS
DESCRIÇÃO
(throughput/caixa)
MODO/
INTERFACE
QUANTIDADE
(Unidade/Caixa)
8
70.10.010.680233
DISPOSITIVO DE SEGURANCA DE TI
Gerenciador NGIPS Appliance Físico 2
Descrição do item 8: Appliance Físico, capaz de gerenciar os equipamentos NGIPS.
3.3. Enquadramento Legal (RLBB):
( ) Contratação Direta (X) Licitação Eletrônica
3.4. Modo de Disputa:
(X) Aberto (regra) – Licitação eletrônica
( ) Fechado
( ) Combinado
Caso seja definido o modo de disputa fechado, apresentar as devidas justificativas:
7
#Pública
3.5. Critérios de Julgamento:
(X) Menor preço;
( ) Maior desconto;
( ) Melhor técnica;
( ) Técnica e Preço;
( ) Outro critério de julgamento:
3.6. Habilitação:
Flexibilização de requisitos habilitação:
Haverá flexibilização dos requisitos de habilitação.
(X) Não ( ) Sim.
4. Especificações do Edital:
4.1. Ramo de atividade/Linha(s) de fornecimento de serviços (SICAF):
O fornecedor deverá estar cadastrado para a linha de fornecimento compatível com o
objeto licitado.
4.2. Prazo de Validade das Propostas: 120 (cento e vinte) dias corridos.
4.2.1. A proposta deverá discriminar para cada componente da solução os valores do hardware, software, garantia, serviço de instalação e implantação separadamente. O custo unitário corresponderá à soma destes itens.
4.2.2. Na proposta comercial deverá constar a seguinte tabela para os itens de
software e deverá ser preenchida no que couber:
Item Nome do Software Descrição Pacote/Suíte do
Software Fabricante
Part
Number
Versão
Contratada
1
2
3
8
#Pública
4.3. Documentação Técnica:
4.3.1. Caso o proponente não seja o fabricante da solução, deverá ser credenciado
pelo fabricante durante o período de vigência da garantia técnica.
4.3.2. A análise da documentação técnica, elencada abaixo, é de responsabilidade da
Diretoria de Segurança Institucional (Disin), e será realizada em até 05 (cinco) dias corridos após sua entrega.
Assinatura da Ata de Registro de Preços
4.3.3. O proponente deverá disponibilizar, no momento da assinatura da Ata de Registro de Preços, manuais do usuário (formato digital) em língua portuguesa (Brasil) ou inglesa, com informações detalhadas e atualizadas sobre a instalação, configuração, operação e administração para cada tipo de solução. Os manuais poderão ser enviados por correio eletrônico ao endereço a ser informado pelo Banco. Os manuais deverão estar disponíveis na Internet, para consulta a qualquer momento.
4.3.4. O proponente deverá comprovar, na assinatura da Ata de Registro de Preços, possuir em seu quadro de funcionários, pelo menos 02 (dois) técnicos certificados pelo fabricante para suporte de instalação, implantação e garantia técnica. A comprovação do vínculo empregatício deverá ser feita por meio de apresentação de cópia do registro na carteira profissional, contrato de prestação de serviços ou documento similar e a certificação, por meio de declaração fornecida pelo fabricante destinada ao Banco do Brasil S.A. e com referência explícita a este processo de aquisição.
Acionamento
4.3.5. Caso não seja o fabricante da solução, o proponente deverá apresentar, no primeiro acionamento, declaração do fabricante de que está autorizada a comercializar e prestar os serviços objeto desta contratação no Brasil. Caso o acionamento seguinte aconteça no prazo superior a 180 (cento e oitenta) dias desde o último acionamento, será necessário apresentar nova declaração.
4.3.6. Caso a garantia seja atendida pelo fabricante da solução, o proponente deverá
apresentar, no primeiro acionamento, declaração do fabricante atestando a garantia solidária.
Item
Validade
Técnica (Lei
9609/98
Capítulo III)
Ambiente Plataforma Métrica de
Licenciamento
Qtd.
Licença
Valor
unitário
licença
Valor total
1
2
3
9
#Pública
4.4. Atestado (s) de capacidade técnica.
4.4.1. Fornecido (s) por pessoa jurídica de direito público ou privado, que comprove (m) a aptidão da licitante para:
(X) Desempenho de atividade pertinente e compatível com o ramo de atividade de acordo com o objeto.
( ) Gerenciamento de mão de obra (exclusivo para serviços contínuos com cessão de mão de obra).
4.4.2. Quantitativo mínimo:
Itens:
Descrição Quantidade Percentual
LOTE 1 - Solução com funcionalidades de IPS com
capacidade de inspeção de tráfego de no mínimo 10 Gbps
1 10%
LOTE 2 - Solução com funcionalidades de IPS com capacidade de inspeção de tráfego de no mínimo 10 Gbps
4 11%
LOTE 3 - Solução com funcionalidades de IPS com
capacidade de inspeção de tráfego de no mínimo 1 Gbps
3 10%
LOTE 4 - 3 - Solução com funcionalidades de IPS com capacidade de inspeção de tráfego de no mínimo 3 Gbps com SSL
4 10%
Sistema de Gerenciamento (virtual ou físico) 1 50%
4.5. Condições para adjudicação:
A adjudicação do objeto será para o proponente que oferecer o menor preço para o lote
e atender os requisitos técnicos deste certame.
4.6. Homologação da Solução:
4.6.1. A avaliação técnica da aderência da proposta aos requisitos será realizada em duas etapas:
4.6.1.1. Primeira Etapa: Homologação documental dos requisitos da solução;
4.6.1.2. Segunda Etapa: Homologação em laboratório em ambiente do Banco
10
#Pública
de exemplar da solução, caso o Banco julgue necessário.
4.6.2. A “Homologação Documental” é a fase em que os documentos técnicos enviados pelo proponente são avaliados para verificar o atendimento aos requisitos descritos nesta especificação.
4.6.3. Para homologação documental o proponente deverá apresentar documentação
técnica em português (Brasil) ou inglês, por e-mail ao responsável da licitação, fornecida pelo fabricante que demonstre o atendimento aos requisitos técnicos. Caso não seja possível, deverá ser confirmada a veracidade das informações por meio de declaração fornecida pelo fabricante destinada ao Banco do Brasil e com referência explícita a este processo de aquisição.
4.6.4. A documentação para verificação de conformidade técnica deverá ser entregue
no prazo máximo de 10 (dez) dias corridos, contados a partir do 1° (primeiro) dia subsequente à convocação. O Banco terá até 10 (dez) dias corridos para informar se a documentação entregue é válida e se será necessário fazer homologação em laboratório.
4.6.5. Juntamente com a documentação técnica deverá ser entregue documento que indique a localização da informação que comprova o atendimento a cada um dos requisitos da especificação técnica.
4.6.6. O arquivo (formato .ODS, .PDF, .XLS ou .XLSX), deve conter, além da
identificação (timbre/logo) do proponente, os seguintes campos, conforme modelo abaixo:
Item do Edital Descrição item
Edital Nome do Arquivo
Página Localização/Parágrafo Url
nnn descrição do requisito manual nnn nnn nnn link para acesso via
Internet
4.6.7. Em nenhuma hipótese e/ou circunstância, a documentação técnica deverá conter trechos transcritos ou adaptados do edital para indicar o atendimento de quaisquer requisitos. Caso esta regra não seja cumprida, a proposta será invalidada.
4.6.8. Ao final da “Homologação documental”, se o Banco do Brasil julgar necessário,
o proponente será convocado para a “Homologação em laboratório”, sendo prerrogativa do Banco a análise de quais itens serão homologados em laboratório.
4.6.9. Deverá ser disponibilizado para o Banco do Brasil um exemplar de cada item juntamente com o gerenciador da solução para homologação. A solução deverá ser entregue em até 40 (quarenta) dias corridos, contados a partir da data da convocação, podendo ser prorrogado por mais 15 (quinze) dias corridos, desde que justificado e aceito pelo Banco do Brasil.
4.6.10. A amostra deverá ser entregue em horário comercial no seguinte local:
BANCO DO BRASIL S. A. – DISIN/GESED, situado no STN – Conjunto C –
11
#Pública
Edifício Sede IV– Térreo – Brasília (DF), CEP: 70.770-910, identificados da seguinte forma: AMOSTRA PARA HOMOLOGAÇÃO; IDENTIFICAÇÃO DO PROCESSO DE LICITAÇÃO; NOME, ENDEREÇO E TELEFONE DO PROPONENTE.
4.6.11. Após o prazo de entrega do exemplar, não será permitido ao proponente a
substituição, total ou parcial, ou a entrega de novos exemplares.
4.6.12. O exemplar colocado à disposição do Banco do Brasil será tratado como
amostra, podendo ser manuseado e desmontado pela equipe técnica responsável pela análise. Ao término do processo, a solução será devolvida ao respectivo proprietário no estado em que se encontrar, cabendo a este a responsabilidade de retirada da solução, em até 10 (dez) dias corridos após a notificação.
4.6.13. O proponente deverá colocar à disposição do Banco do Brasil as condições indispensáveis à realização de testes (incluindo cabos, acompanhamento local de técnico do proponente e qualquer equipamento ou documento técnico adicional necessário).
4.6.14. O Banco disponibilizará apenas a infraestrutura necessária à instalação, compreendendo as bancadas, energia elétrica estabilizada e condicionamento de ar.
4.6.15. O proponente deverá apresentar, junto ao exemplar para homologação, um plano de teste para homologação, descrevendo atividades, topologias/arquitetura e as configurações necessárias para a comprovação dos requisitos exigidos na especificação técnica, conforme modelo descrito no anexo 1. O plano de testes será validado pelo Banco.
4.6.16. O plano de testes deve contemplar no mínimo os testes descritos no anexo 2. O
Banco poderá a seu critério realizar outros testes, além dos declarados no plano de teste, para o processo de homologação.
4.6.17. O proponente deverá efetuar a demonstração de que a solução atende aos itens técnicos do edital solicitados pelo Banco no prazo máximo de até 30 (trinta) dias corridos, a contar da data de reunião de abertura dos testes. O Banco poderá, a seu critério, interromper ou postergar a homologação e, caso justificado, prorrogar uma vez por até 15 (quinze) dias corridos.
4.6.18. Caso, durante a realização dos testes de bancada, seja constatado o não
atendimento a algum dos itens desta especificação técnica, o proponente terá o prazo de até 48 (quarenta e oito) horas, contadas a partir da comunicação do fato, para corrigir os problemas apresentados, sem envolver troca de equipamento. Por exemplo, não poderão ser instaladas correções de software, patches, novas versões do produto ou quaisquer outras peças de componentes não entregues inicialmente, sendo permitido apenas reconfigurações dos componentes já entregues e instalados inicialmente. A nova realização de testes deverá ocorrer no prazo estipulado no item anterior.
12
#Pública
4.6.19. Os testes de Homologação serão executados por técnicos do proponente,
acompanhados pela equipe técnica do Banco.
4.6.20. O acompanhamento da análise da amostra, por parte dos interessados,
(proponente ou fabricante) poderá ser realizado mediante manifestação a ser encaminhada após comunicação realizada pelo responsável da licitação, que divulgará a informação de horário, local do procedimento e as condições do acompanhamento da análise. Serão aceitos somente um único representante de cada empresa participante do pregão eletrônico somente sob condição de observador.
4.6.21. Será permitida a presença de representantes do fabricante da solução ofertada
durante a análise da amostra.
4.6.22. Durante o período de avaliação em laboratório não serão permitidos a utilização
de equipamentos eletrônicos (por exemplo notebooks, smartphones, tablets) pelos observadores.
4.6.23. Em até 5 (cinco) dias corridos após a finalização dos testes de bancada os técnicos do Banco do Brasil irão elaborar um laudo com registros dos testes realizados, indicando se a solução foi ou não homologada.
4.7. Critérios de Sustentabilidade:
4.7.1. A presente contratação contém outros critérios sustentáveis que objetivam a preservação do meio ambiente e/ou o desenvolvimento econômico e social do país, além dos estabelecidos nas minutas de contrato?
Não, os critérios de sustentabilidade são aqueles estabelecidos na minuta padrão do
contrato.
4.8. Informação sobre a decisão de parcelamento ou não da Solução.
Não haverá parcelamento.
4.9. Informação sobre a possibilidade de participação de consórcio.
Não será permitida a participação de proponente constituído na forma de consórcio.
4.10. Preço estimado da contratação, discriminado em itens separados nas
propostas de preços, de modo a permitir a identificação do seu preço individual na composição do preço global.
Será informado após realização da pesquisa de mercado.
4.11. Nas contratações de serviços informar obrigatoriamente: Não se aplica.
a) Se haverá ou não dedicação exclusiva de mão de obra;
b) Se o serviço é de natureza continuada ou não.
13
#Pública
4.12. Informações complementares:
Especificação da entrega
4.12.1 A partir da data do acionamento (assinatura do contrato derivado da Ata de Registro de Preços ou emissão do Pedido de Compra), o proponente terá prazo de até 60 (sessenta) dias corridos, prorrogáveis, a critério do Banco, por mais 15 (quinze) dias corridos para entregar os componentes da solução solicitados pelo Banco do Brasil.
4.12.2 Em caso de descumprimento do prazo definido acima, poderá ser acessada a cláusula de multa por inexecução contratual, seguindo o devido processo administrativo.
4.12.3 O Banco do Brasil reserva-se ao direito de solicitar os componentes da solução separadamente e em quantidades diferentes daquelas estimadas na ata de registro de preços, respeitando a quantidade máxima estabelecida neste documento, durante o período de vigência da Ata de Registro de Preços.
4.12.4 Caso a solução seja composta por Console de Gerenciamento, este deverá ser entregue licenciado e implementado junto com a primeira solicitação de acionamento de entrega e instalação de equipamento.
4.12.5 O proponente deverá entregar os equipamentos e o Console de Gerenciamento Centralizado nos seguintes endereços: Complexo Central de Tecnologia I, Ed. ICI 1, STN 716, Conjunto C, Asa Norte, Brasília/DF, CEP 70.770-910, Gerência de Construção de Infraestrutura (Disin/Gesed/Gesec), ou Complexo Central de Tecnologia II – Datacenter Capital Digital, Lote 3, Granja do Torto, Brasília/DF CEP 70.635.810, Gerência de Datacenters (Ditec/UOS/Gesat), mediante prévio agendamento, realizado com antecedência de 3 (três) dias corridos, ou, a critério do Banco do Brasil, em outra de suas instalações em Brasília (DF).
4.12.6 A entrega deve ser efetuada em dias úteis, de segunda a sexta-feira, em horário comercial.
4.12.7 Os equipamentos deverão ser entregues em caixas lacradas pelo fabricante, acompanhados de drivers, documentação técnica e manuais necessários à sua instalação, configuração e operacionalização. Não serão aceitos equipamentos com caixas violadas. O Banco do Brasil, a qualquer tempo, poderá efetuar consulta do número de série do equipamento junto ao fabricante, informando data de compra e empresa adquirente.
4.12.8 As caixas dos equipamentos deverão possuir identificação externa contendo o número da licitação eletrônica e o número do contrato.
4.12.9 Quando da entrega pela transportadora, a dependência destinatária conferirá somente a quantidade de volumes entregues.
4.12.10 Os equipamentos deverão ser entregues novos, sem qualquer uso e em linha de fabricação. Não serão aceitos equipamentos usados, remanufaturados,
14
#Pública
recondicionados, recuperados ou de demonstração.
4.12.11 Os equipamentos deverão ser entregues com as etiquetas de identificação patrimonial, cuja numeração será fornecida pelo Banco do Brasil, conforme especificações contidas no Anexo 3 deste Documento.
4.12.12 O proponente deve garantir o acesso eletrônico (web ou outra) a biblioteca de documentação técnica da solução, contendo informações detalhadas e atualizadas sobre a instalação, configuração, operação e administração dos equipamentos, inclusive sobre as placas e periféricos que integrem o equipamento, editados em português (Brasil) ou inglês.
4.12.13 O Banco do Brasil reserva-se o direito de reproduzir os manuais em mídia na mesma quantidade de licenças de uso adquiridas.
4.12.14 Feita a entrega, o Banco efetuará, no prazo máximo de 5 (cinco) dias corridos, a conferência dos componentes entregues, de modo a verificar a correspondência entre o que foi recebido e o que foi listado nas notas fiscais/faturas, prazo em que emitirá o Termo de Aceite de Entrega (anexo 4) correspondente.
Especificação da instalação
4.12.15 O proponente deverá entregar um Plano de Instalação da solução no prazo máximo de 30 (trinta) dias corridos, contados a partir da data do Termo de Aceite de Entrega, contendo, no mínimo: cronograma descrevendo as atividades de instalação, indicando prazos e respectivas datas de início e término; lista de recursos de hardware e software que serão utilizados; procedimentos que serão seguidos para a realização dos testes de funcionamento em produção e outras informações adicionais requeridas pelo Banco do Brasil.
4.12.16 O Banco do Brasil avaliará o Plano de Instalação fornecido pelo proponente no prazo máximo de 10 (dez) dias corridos, contados a partir da data de entrega do referido plano. Caso o Plano de Instalação não seja aceito pelo Banco, o proponente terá prazo de 5 (cinco) dias corridos, a partir da data de comunicação do fato, para efetuar os ajustes necessários para a apresentação de um novo Plano de Instalação. Nesse caso, o Banco terá novo prazo de 10 (dez) dias corridos, a partir da data de entrega, para avaliar o novo plano.
4.12.17 Os equipamentos deverão ser instalados pelo proponente no prazo de até 30 (trinta) dias corridos contados a partir da aprovação do Plano de Instalação pelo Banco do Brasil, dentro do horário comercial e em dias úteis. Havendo acordo de ambas as partes, a instalação poderá ocorrer fora do horário comercial e em dias não úteis. Durante, e ao final da instalação, o proponente deve deixar o ambiente limpo, tomando os devidos cuidados na retirada das embalagens e objetos descartados.
4.12.18 Os componentes da solução deverão ser instalados em sua última versão disponível.
4.12.19 Fazem parte da instalação e são responsabilidades do proponente:
15
#Pública
4.12.19.1 Montagem completa dos equipamentos nos locais definidos pelo Banco do Brasil. Os equipamentos deverão ser fixados em rack 19 polegadas, conforme orientação da Área de Engenharia do Banco. Caso o proponente opte por utilizar equipamentos tipo “de mesa”, a mesma também deve fornecer e instalar as bandejas necessárias para instalação dos equipamentos nos racks. As bandejas devem ser do mesmo padrão dos racks existentes;
4.12.19.2 Em caso de equipamentos alimentados por fonte externa, o proponente deverá acondicionar a fonte de forma organizada e que não permita a sua suspensão pelo cabo de alimentação de energia;
4.12.19.3 Montagem dos componentes da solução;
4.12.19.4 Instalação da solução nos prédios indicados pelo Banco;
4.12.19.5 Interligação da solução de acordo com a topologia definida pelo Banco;
4.12.19.6 Atualizações e configurações da solução de forma a atender os requisitos definidos pelo Banco neste documento;
4.12.19.7 Testes destinados à validação da configuração realizada, demonstrando o pleno funcionamento da solução e sua conexão com a rede corporativa do Banco;
4.12.19.8 Identificação dos equipamentos instalados;
4.12.19.9 Identificação das conexões feitas nos equipamentos;
4.12.19.10 As instalações físicas e os serviços realizados pelo proponente poderão ser vistoriados a qualquer tempo pela área de Engenharia do Banco do Brasil. Caberá ao proponente refazer de imediato os serviços impugnados, arcando com os custos decorrentes.
4.12.20 O proponente deve providenciar de imediato o reparo de quaisquer danos, eventualmente causados à infraestrutura do Banco do Brasil ou de terceiros, seja durante os serviços de instalação, ativação ou manutenção de equipamentos e sistemas.
4.12.21 O proponente deve executar o processo de integração dos novos equipamentos com os já existentes, respeitando o cronograma de instalação e fazendo a devida compatibilidade técnico-operacional, garantindo desta forma que o ambiente atual possa ser integrado ao novo. Qualquer problema ou incompatibilidade é de responsabilidade do proponente e por ela deve ser resolvido.
4.12.22 Caso seja detectado que os produtos entregues não atendem às especificações técnicas do objeto contratado, o Banco do Brasil poderá rejeitá-los, integral ou parcialmente, obrigando-se, o proponente, a providenciar a substituição dos bens não aceitos no prazo de 20 (vinte) dias corridos a contar da comunicação do fato, podendo ser prorrogável por igual período a critério do Banco.
16
#Pública
4.12.23 Os equipamentos fornecidos poderão, a critério do Banco, ser objeto de um processo de instalação simplificado, compreendendo a desembalagem, montagem, ativação, realização de autoteste, atualização do sistema operacional e instalação de licenças de funcionalidade/capacidade. Este procedimento não desobriga ao cumprimento dos itens acima.
4.12.24 Concluída a instalação, o Banco realizará, no prazo máximo de 30 (trinta) dias corridos, os exames necessários para a aceitação da solução, prazo em que será emitido o respectivo Termo de Aceite de Instalação (anexo 5).
4.12.25 A entrega e a instalação poderão ocorrer no mesmo momento no prazo de até 90 (noventa) dias corridos após o acionamento/assinatura do contrato desde que acordado entre as partes.
Especificação da implantação
4.12.26 A fase de implantação se dará a partir da assinatura do Termo de Aceite de Instalação.
4.12.27 Para a implantação o proponente deverá estar disponível in loco, sem ônus adicional para o Banco, durante o período de 120 (cento e vinte) dias corridos, a contar da data do primeiro aceite de instalação de cada item acionado, 8 (oito) horas por dia, 5 (cinco) dias por semana, para prestação dos seguintes serviços, no mínimo:
4.12.27.1 Administração da solução;
4.12.27.2 Realização de Health Checks;
4.12.27.3 Técnicas de troubleshoot;
4.12.27.4 Otimização do ambiente;
4.12.27.5 Configuração da ferramenta de gerência;
4.12.27.6 Configuração/alteração de quaisquer funcionalidades dos controladores de rede e integração com outras ferramentas existentes, caso necessário;
4.12.27.7 Integração com o ambiente de produção do Banco;
4.12.27.8 Configuração/alteração de quaisquer funcionalidades da solução;
4.12.27.9 Desinstalação/reinstalação da solução.
4.12.28 Os períodos de eventuais congelamentos que vierem a ocorrer dentro dos 120 (cento e vinte) dias deverão ser acrescidos ao final do período.
4.12.29 O Termo de Aceite de Implantação será emitido em até 5 (cinco) dias corridos, após conclusão da implantação, conforme anexo 6.
17
#Pública
5. Subcontratação / Parcela(s) de maior relevância para o ramo da empresa contratar*
Caso o proponente não seja o fabricante, a garantia poderá ser efetuada diretamente pelo fabricante dos equipamentos.
6. Garantia Financeira da Execução Contratual
( ) Não será exigida.
Justificar:
(X) Será exigida no percentual equivalente a 5% do valor do contrato.
Justificar:
A fim de garantir a execução do objeto nos termos ajustados no contrato e cobrir
custos em caso de inexecução contratual fica exigida a garantia financeira.
7. Especificações técnicas e condições de prestação dos serviços
7.1. Definição:
7.1.1. Dos requisitos funcionais e não funcionais
7.1.1.1 Os itens que compõem a solução de NGIPS (Next Generation Intrusion
Prevention System) e o sistema de gerenciamento destes equipamentos devem ser produzidos pelo mesmo fabricante.
7.1.1.2 Não serão aceitos sistemas baseados em hardware ou software projetados para uso genérico, ou de código aberto (“open source”), nem soluções personalizadas para o Banco. Os elementos ofertados não podem ser diferentes daqueles oferecidos para o mercado.
7.1.1.3 O proponente deverá apresentar uma declaração com informação pública relativa ao ciclo de vida da solução do produto oferecido. Não serão aceitas soluções que tenham ciclo de vida declarados pelo fabricante com o status (“End-of-Life”, “End-of-sale” e “End-of-Support”) até o momento do aceite de implementação. O proponente deverá garantir que a solução e seus componentes, caso entrem em situação de “End-of-Support” pelo fabricante, e no caso de ocorrer necessidade de manutenção do
18
#Pública
equipamento por parada, atualização, mal funcionamento sem mais qualquer suporte do fabricante durante o prazo de garantia, trocará o equipamento por outro que atendam aos requisitos anteriormente contratados de forma igual ou superior sem quaisquer ônus ao Banco.
7.1.1.4 Caso o fabricante publique o anúncio de “End-of-Life” da solução antes do
aceite de implantação, o fornecedor deve entregar o modelo equivalente ou superior da solução de NGIPS que entrou em fim de linha.
7.1.1.5 Os itens deste Termo de Referência devem vir com a versão de software e/ou firmware mais estável e recomendado pelo fabricante.
7.1.1.6 Serão aceitos apenas appliances físicos para a solução NGIPS dos tipos 1, 2, 3, 5 e 6. Para o tipo 4, será aceito apenas appliances virtuais. No caso de sistema de gerenciamento (itens 7 e 8), este será aceito tanto como appliance virtual quanto appliance físico, conforme exigências descritas neste documento.
7.1.1.7 As licenças de uso de software serão adquiridas em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante ou seu representante. Ou seja, ao fim da vigência da garantia técnica, a solução deverá estar funcional e acessível, mesmo que incapaz de atualizar softwares e assinaturas.
7.1.1.8 O fabricante deve possuir rede de inteligência (threat inteligence) própria da
solução para atualização constante de feeds de ameaças (threat feed) de forma constante e automática.
7.1.1.9 É vedado o encaminhamento do artefato que está sendo analisado para o ambiente externo ao Banco do Brasil. É permitido o envio de metadados sobre os artefatos que venham a ser analisados pela solução.
7.1.1.10 O fabricante do equipamento proposto deve possuir avaliação(ões)
publicadas, entre os anos de 2017 à 2019 pela NSS Labs, confirmando uma taxa de bloqueio de ataques (“efetividade de segurança”) superior à 95% (noventa e cinco por cento). Tal exigência deverá ser comprovada no momento da homologação documental, conforme item 4.6.4.
7.1.2. Características comuns aos appliances físicos
7.1.2.1 Os appliances físicos ofertados devem adequar-se em rack padrão de 19”
(dezenove polegadas) sendo fornecido com os acessórios indispensáveis para sua montagem, como trilhos, cabos e parafusos para a sua fixação.
7.1.2.2 Os equipamentos deverão possuir armazenamento do tipo SSD (Solid State Disk).
7.1.2.3 Os appliances físicos devem possuir 2 (duas) fontes de alimentação internas e redundantes, que operem em corrente alternada (AC), com seleção automática de tensão 208V (Fase-Fase) e 220V (Fase-Neutro), frequência 50Hz/60Hz.
19
#Pública
7.1.2.4 Os equipamentos do tipo 5 e 6 devem permitir a substituição de fontes de
energia sem o desligamento (hot-swap) e remoção do equipamento do rack de instalação. A operação do equipamento deve ser mantida de forma independente sem prejuízo às suas funcionalidades e capacidades, mesmo durante o período de retirada, substituição ou manutenção de uma das fontes.
7.1.2.5 Os equipamentos do tipo 5 e 6 devem possuir mecanismo de by-pass (fail-open), interno ou externo, nas interfaces do equipamento, a fim de garantir o fluxo de tráfego de rede de modo a não permitir a interrupção do tráfego em caso de falha de hardware, interfaces, software ou de fornecimento de energia.
7.1.2.6 Prover o gerenciamento do mecanismo de by-pass, ativação e desativação, por meio de ação do administrador. (Somente para os equipamentos Tipo 5 e 6 descritos no item 7.1.1.9.2, NGIPS com SSL decryption).
7.1.2.7 Os cabos destinados a alimentação dos equipamentos, devem:
7.1.2.7.1 Possuir comprimento de no mínimo 4 (quatro) metros.
7.1.2.7.2 Atender ao padrão IEC-320-C14 para equipamentos até 16A.
7.1.2.7.3 Atender ao padrão IEC-320-C20 para equipamentos de 16A até 25A.
7.1.3. Características comuns aos appliances virtuais
7.1.3.1 Deverá ser compatível com o VMware vSphere Hypervisor (ESXi) 6.5 ou posterior.
7.1.3.2 Não será necessário o fornecimento de equipamentos e licenças adicionais para permitir a virtualização da solução. Será utilizada a infraestrutura de virtualização mantida pelos recursos tecnológicos do Banco.
7.1.3.3 Para a instalação da solução, o Banco dispõe de servidores com os seguintes
sistemas de gerenciamento de banco de dados (SGBD) licenciados:
7.1.3.3.1 Oracle 12C.
7.1.3.3.2 IBM DB2 10.5 PureScale.
7.1.3.3.3 Microsoft SQL Serve 2012.
7.1.3.3.4 PostgreSQL 9.2.4.
7.1.3.3.5 MySQL 5.7.
7.1.3.4 Caso a solução tenha que ser instalada em SGBD que o Banco não possua, o
ônus das licenças, suporte, garantia deverá ser provido pelo proponente no mesmo prazo da garantia.
7.1.4. Requisitos do sistema de gerenciamento de NGIPS (Next Generation Intrusion Prevention System)
20
#Pública
7.1.4.1 A gerência deve permitir o gerenciamento centralizado de todos os NGIPS que
compõe o lote. Caso haja um mesmo proponente vencedor em mais de um lote, poderá ser entregue uma única gerência, desde que seja do mesmo fabricante.
7.1.4.2 Será aceito appliance virtual ou físico para o sistema de gerenciamento dos NGIPS.
7.1.4.3 A solução de gerência física deve considerar uma instalação em alta disponibilidade no modo ativo/passivo, onde:
7.1.4.3.1 Uma das gerências deve ser primária (ativa).
7.1.4.3.2 Uma das gerências deve ser secundária (passiva).
7.1.4.3.3 Em caso de falha da gerência primária (ativa), a secundária (passiva) deve assumir o gerenciamento centralizado do(s) equipamento(s) NGIPS, podendo ser de forma automática ou manual.
7.1.4.3.4 As configurações devem ser sincronizadas entre a gerência primária
(ativa) e a gerência secundária (passiva).
7.1.4.4 Ser capaz de criar contas de usuários de forma local e tolerar a autenticação e
autorização de usuários por meio dos protocolos LDAP ou AD (Active Directory).
7.1.4.5 Ser capaz de segregar as contas de usuários de forma hierárquica com no
mínimo os perfis “usuário” e “administrador”. Devendo permitir que, no mínimo, 5 (cinco) contas administrativas distintas possam ser acessadas simultaneamente e possam operar de forma independente.
7.1.4.6 Permitir a administração centralizada e a configuração das funcionalidades dos
equipamentos NGIPS por meio de interface gráfica (GUI), nos formatos web segura (https) ou em formato de aplicativo cliente, desde que este último seja compatível com Windows 10.
7.1.4.7 Permitir a monitoração de recursos dos equipamentos NGIPS para no mínimo:
7.1.4.7.1 Avaliação e monitoração dos recursos de hardware.
7.1.4.7.2 Avaliação e monitoração de tráfego de rede por interface.
7.1.4.7.3 Avaliação e monitoração de eventos de proteção capturados pelos NGIPS.
7.1.4.7.4 Neste item será aceito a monitoração por meio da console de gerenciamento (GUI) da caixa, desde que atenda aos requisitos mínimos exigidos.
7.1.4.8 Possuir notificação de falhas de sistema/registros/eventos, permitindo envio de
informações conforme abaixo:
21
#Pública
7.1.4.8.1 Por meio de integração com servidor SYSLOG.
7.1.4.8.2 Por meio de integração com servidor SNMP.
7.1.4.9 Possuir integração, através de SNMPv2c ou SNMPv3, onde deve ser fornecido
o(s) respectivo(s) arquivo(s) MIB.
7.1.4.10 Possuir arquivamento (backup) dos eventos gerados pelo(s) equipamento(s)
NGIPS, conforme abaixo:
7.1.4.10.1 Manual: arquivamento (backup) dos eventos sob demanda, sendo
realizado de forma manual pelo administrador.
7.1.4.10.2 Automático: arquivamento (backup) dos eventos de forma
agendada e automática, sendo previamente configurado pelo administrador.
7.1.4.11 Permitir a instalação, configuração e atualização de múltiplos NGIPS
simultaneamente, de forma local ou remota. Deve tolerar a baixa dos softwares dos NGIPS via internet, ou através de upload de arquivos localmente.
7.1.4.12 Permitir realização do backup de configuração dos NGIPS e dela própria. Em caso de falha no equipamento, deve ser capaz de realizar rollback do NGIPS para a última versão disponível localmente.
7.1.4.13 Ser capaz de administrar versões antigas de sistemas operacionais do NGIPS.
7.1.4.14 Possuir políticas baseadas em assinaturas e a capacidade de recomendar ações sugeridas pelo fabricante com por exemplo, bloqueio, quarentena ou liberação de tráfego.
7.1.4.15 Permitir aplicação de políticas, regras, de forma remota e centralizada, sem
afetar a detecção e bloqueio, isto é, os equipamentos NGIPS gerenciados não perderão a capacidade de detecção e bloqueio durante o processo de aplicação de políticas e regras.
7.1.4.16 Permitir sincronismo de horário do(s) equipamento(s) NGIPS através de
integração com servidor NTP (Network Time Protocol).
7.1.4.17 O Gerenciador Centralizado deve atuar como:
7.1.4.17.1 Gerenciador de licenças.
7.1.4.17.2 Distribuidor de atualizações da biblioteca de assinaturas.
7.1.4.17.3 Centralizador dos logs dos NGIPS.
7.1.4.18 Possuir ferramenta para acompanhamento de análise de eventos e estatística
de logs.
22
#Pública
7.1.4.19 Ser capaz de gerar relatórios, não sendo aceita a utilização de solução de
terceiros ou externa.
7.1.4.20 Ser capaz de gerar relatórios, de forma remota e centralizada, para os eventos
e alertas do(s) equipamento(s) NGIPS, conforme abaixo:
7.1.4.20.1 Manual: geração de relatórios sob demanda, sendo realizada de
forma manual pelo administrador.
7.1.4.20.2 Automático: geração de relatórios de forma agendada e automática,
sendo previamente configurada pelo administrador.
7.1.4.21 Permitir exportar relatórios para no mínimo no formato PDF.
7.1.4.22 Possuir relatórios pré-definidos, para no mínimo:
7.1.4.22.1 Resumo executivo.
7.1.4.22.2 Resumo de reputação da origem do ataque.
7.1.4.22.3 Resumo de reputação do destino do ataque.
7.1.4.22.4 Ataques de reconhecimento.
7.1.4.22.5 Análise de tendências.
7.1.4.22.6 Os 10 (dez) ataques mais detectados.
7.1.4.22.7 As 10 (dez) origens que mais atacaram.
7.1.4.22.8 Os 10 (dez) destinos que mais foram atacados.
7.1.4.23 Permitir customização e criação de relatórios sob demanda, permitindo
utilização de filtros específicos, para no mínimo:
7.1.4.23.1 Endereço IP de origem.
7.1.4.23.2 Endereço IP de destino.
7.1.4.23.3 Nome do ataque.
7.1.5. Requisitos dos NGIPS (Next Generation Intrusion Prevention System)
7.1.5.1 Tipos de NGIPS - sem SSL decryption
7.1.5.1.1 IPS Tipo 1– 40 Gbps
7.1.5.1.1.1 Possuir throughput de 40 Gbps de tráfego, conter no mínimo 4 interfaces
FIBRA de 10 GigE (Gigabit Ethernet) com seus respectivos transceivers.
23
#Pública
7.1.5.1.1.2 Tolerar no mínimo 25 milhões de conexões TCP concorrentes.
7.1.5.1.1.3 Tolerar no mínimo 265.000 (duzentos e sessenta e cinco mil) novas conexões TCP por segundo.
7.1.5.1.2 IPS Tipo 2– 20 Gbps
7.1.5.1.2.1 Possuir throughput de 20 Gbps de tráfego, conter no mínimo 4 interfaces
FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers.
7.1.5.1.2.2 Tolerar no mínimo 13 milhões de conexões TCP concorrentes.
7.1.5.1.2.3 Tolerar no mínimo 150.000 (cento e cinquenta mil) novas conexões TCP por segundo.
7.1.5.1.3 IPS Tipo 3 – 10 Gbps
7.1.5.1.3.1 Possuir throughput de 10 Gbps de tráfego, conter no mínimo 4 interfaces
FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers.
7.1.5.1.3.2 Tolerar no mínimo 9 milhões de conexões TCP concorrentes.
7.1.5.1.3.3 Tolerar no mínimo 64.000 (sessenta e quatro mil) novas conexões TCP por segundo.
7.1.5.1.4 IPS Tipo 4 – 1 Gbps
7.1.5.1.4.1 Possuir throughput de 1 Gbps de tráfego.
7.1.5.1.4.2 Tolerar no mínimo 500.000 (quinhentos mil) conexões TCP concorrentes.
7.1.5.1.4.3 Tolerar no mínimo 20.000 (vinte mil) novas conexões TCP por segundo.
7.1.5.2 Tipos de NGIPS com SSL decryption
7.1.5.2.1 Ser capaz de realizar a análise e inspeção de tráfego criptografado
(decriptografia) utilizando cifra ‘TLS_RSA_WITH_AES_128_CBC_SHA256’ e criptografia RSA de 2048 bits. Não será aceito a utilização de equipamento externo para realização da decriptografia.
7.1.5.2.2 IPS Tipo 5 – 6 Gbps
7.1.5.2.2.1 Possuir throughput de 6 Gbps de SSL Inspection, conter no mínimo 2 (duas) interfaces FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers, 2 (duas) interfaces FIBRA 1GigE (Gigabit Ethernet) e 4 (quatro) interfaces RJ-45 1GigE (Gigabit Ethernet).
7.1.5.2.2.2 Tolerar no mínimo 1,5 milhões de conexões SSL simultâneas.
7.1.5.2.2.3 Tolerar no mínimo 9.500 (nove mil e quinhentas) novas conexões SSL por
24
#Pública
segundo.
7.1.5.2.3 IPS Tipo 6 – 3 Gbps
7.1.5.2.3.1 Possuir throughput de 3 Gbps de SSL Inspection, conter no mínimo 2
interfaces FIBRA de 10 GigE em cada equipamento com seus respectivos transceivers, 2 (duas) interfaces FIBRA 1GigE (Gigabit Ethernet) e 4 (quatro) interfaces RJ-45 1GigE (Gigabit Ethernet).
7.1.5.2.3.2 Tolerar no mínimo 200.000 (duzentas mil) conexões SSL simultâneas.
7.1.5.2.3.3 Tolerar no mínimo 3.000 (três mil) novas conexões SSL por segundo.
7.1.5.2.4 Características gerais dos NGIPS
7.1.5.2.4.1 Monitorar segmentos de rede em modo transparente (camada 2 do modelo OSI – Open System Interconnection), sem alterações de topologias de rede e nem modificações de roteamento.
7.1.5.2.4.2 Permitir a inspeção e análise do tráfego de rede passante sem a
necessidade da configuração de endereço IP nas interfaces de monitoração do NGIPS.
7.1.5.2.4.3 Ser capaz de capturar pacotes para análise de troubleshooting em formato
compatível com a biblioteca LIBPCAP, podendo ser através de ferramenta similar a tecnologia TCPDUMP ou através de interface gráfica que permita regras de captura.
7.1.5.2.4.4 Ser capaz de se comunicar com produtos de Gerenciamento e Correlação de Eventos de Segurança (SIEM - security information and event management) podendo ser por meio de API (customização pelo proponente), ou aplicativo customizado.
7.1.5.2.4.5 Possuir os seguintes modos de operação:
7.1.5.2.4.5.1 Prevenção (inline) – monitoração e proteção de segmentos
de rede em ambas as direções, permitindo monitorar e responder à ataques em tempo real, mantendo-se o estado das conexões (Stateful).
7.1.5.2.4.5.2 Bloqueio Simulado (inline) – monitoração e simulação de proteção de segmentos de rede em ambas as direções, permitindo monitorar e alertar os ataques em tempo real, reportando quais ataques seriam bloqueados, mantendo-se o estado das conexões (Stateful).
7.1.5.2.4.5.3 Monitoração (SPAN) – monitoração de segmentos de rede, permitindo monitorar e alertar os ataques em tempo real. (Não sendo necessário modo inline).
7.1.5.2.4.6 O equipamento físico deverá ser capaz de virtualizar no mínimo em 5
(cinco) domínios virtuais, ou 5 (cinco) agrupamentos lógicos. Será aceito virtualização por meio da segmentação da interface por CIDR, VLAN, BRIDGE VLAN ou
25
#Pública
INTERFACE DEDICADA. Não considerar para o IPS tipo 4, que trata de appliance virtual.
7.1.5.2.5 Detecção de Ataques
7.1.5.2.5.1 Inspecionar protocolos de rede entre as camadas de enlace (camada 2) e a camada de aplicação (camada 7) do modelo OSI (Open System Interconnection) para no mínimo: ARP, DHCP, DNS, FTP, HTTP, HTTPS, ICMP (versão 4 e versão 6), IMAP, IP (versão 4 e versão 6), LDAP, NetBIOS, NFS, POP3, RADIUS, SMTP, SNMP, SSH, RPC, TCP, TELNET, TFTP e UDP.
7.1.5.2.5.2 Permitir a identificação de ataques para protocolos de rede para no mínimo:
DNS, FTP, HTTP, IMAP, POP3, SMTP, SNMP e RPC. Para os equipamentos com SSL Decryption (tipos 5 e 6) deverá permitir também o protocolo HTTPS.
7.1.5.2.5.3 Realizar análise stateful inspection e stateless inspection.
7.1.5.2.5.4 Permitir a detecção e bloqueio de ataques por meio de assinaturas
definidas pelo fabricante. Possibilitar a criação de novas assinaturas e a alteração de parâmetros das assinaturas já existentes (Custom Signature) pelo usuário.
7.1.5.2.5.5 Ser capaz de detectar e bloquear ataques de reconhecimento tipo força bruta, host sweeps, probes, scans de porta, Exploits como agentes zumbis (botnet), Arbitrary Command Execution, Backdoor, Buffer Overflow, Code/Script Execution, Evasion Atempt, Privileged Access, Probe, Protocol Violation, Remote Access, Shellcode Execution, Trojan, Virus, Read Exposure, Worms e Write Exposure. Policy Violations como: Audit, Command Shell, Covert Channel, Non-standard Port, Phising, PuP (Potential Unwanted Program), Restricted Access, Restricted Application, Sensitive Content e Unauthorized IP.
7.1.5.2.5.6 Detectar e bloquear, no mínimo, os ataques do tipo: SQL injection, XSS (Cross-site scripting), CSRF (Cross-site request forgery), Man-in-the-middle attack, shellCodes, ClientSideAttacks, DNS Tunneling e ARP spoofing (ou Anti-Spoofing).
7.1.5.2.5.7 Possuir detecção baseada em fluxo: permitir a remontagem de fragmentos
IP e remontagem de fluxo TCP. Deve detectar “HTTP Fragmentation Attack”.
7.1.5.2.5.8 Detectar e bloquear assinaturas de ataques de negação de serviço (DoS)
mais comuns como por exemplo: flooding TCP/UDP/ICMP/ACK, bonk attack, land attack, “ping of death attack”, newtear attack e teardrop attack, ataques TCP SYN, TCP ACK/FIN, TCP RST, DNS Flood, UDP Flood e ICMP Flood.
7.1.5.2.5.9 Permitir a detecção e bloqueio de tráfego de aplicações Instant Messenger,
P2P (Peer-to-Peer) e de compartilhamento de arquivos como por exemplo Dropbox e Google Drive e ainda atuar em Proxies Anônimos, como TOR (The Onion Router) e Ultrasurf.
7.1.5.2.5.10 Permitir a criação de políticas ou assinaturas para controle de aplicativos,
permitindo criação de regras de acesso para aplicativos comuns, tais como: Facebook,
26
#Pública
Yahoo! Instant Messenger e Gmail.
7.1.5.2.5.11 Permitir a detecção e bloqueio baseado em limite, que aceita definição de valores “threshold” para determinar o número de conexões ou a banda que podem ser estabelecidas de/para uma máquina.
7.1.5.2.5.12 Permitir limitar a banda de um tipo de tráfego de rede por meio de políticas
ou assinaturas com no mínimo os seguintes parâmetros: por direção (inbound/outbound), protocolo (TCP/UDP) e valor (quantidade de conexões).
7.1.5.2.5.13 Permitir a criação de políticas de Firewall ou ACL (Access Control List), para no mínimo:
7.1.5.2.5.13.1 Filtros de origem e destino por: país, nome (DNS), endereço IP, bloco de endereços, rede ou grupo de redes.
7.1.5.2.5.14 Ter opção de obter informações detalhadas sobre ataques, para no mínimo: reputação de endereço IP e reputação de aplicação (URL).
7.1.5.2.5.15 Possuir algoritmo de pontuação para relevância de um ataque, conforme padrão de mercado e definido por entidade independente (CVSS, por exemplo), permitindo distinguir quando um ataque for bem-sucedido ou quando um ataque falhar. Será aceito algoritmo de pontuação próprio (do fabricante) desde que trabalhe de forma similar aos padrões adotados no mercado, conforme o exemplo supracitado.
7.1.5.2.5.16 Identificar tipos de ameaças, conforme padrões de mercado e definidos
por entidades independentes (CVE, por exemplo). Será aceito algoritmo de pontuação próprio (do fabricante) desde que trabalhe de forma similar aos padrões adotados no mercado, conforme o exemplo supracitado.
7.1.5.2.5.17 Possuir análise do nível de relevância de um ataque, permitindo uma
demonstração de faixas de relevância para no mínimo 3 (três) níveis, podendo ser: baixa, média e alta.
7.1.5.2.5.18 Possuir detecção e bloqueio de ataques por meio de túneis para no mínimo: IPv4-in-IPv4, IPv4-in-IPv6 e IPv6-in-IPv6.
7.1.5.2.5.19 Permitir a análise que utilizem os protocolos/técnicas, no mínimo: IEEE 802.1Q (VLAN).
7.1.5.2.6 Detecção de Malware
7.1.5.2.6.1 A engine de análise de malware deve estar integrada ao appliance do
NGIPS. Não serão aceitas soluções externas.
7.1.5.2.6.2 Possuir biblioteca de identificação de códigos maliciosos e ameaças
avançadas.
7.1.5.2.6.3 Detectar e bloquear a ação de malwares através de análise de protocolos
27
#Pública
HTTP, HTTPS (para os IPS tipos 5 e 6), FTP e SMTP. Podendo ser através de técnicas de Machine Learning, ou assinaturas, ou reputação de arquivos.
7.1.5.2.7 Resposta a Ataques
7.1.5.2.7.1 Responder a eventos com TCP reset.
7.1.5.2.7.2 Permitir o descarte (drop) de pacotes de ataques.
7.1.5.2.7.3 Permitir aplicar e remover bloqueios temporários (quarentena) sob demanda, por períodos programáveis e por remoção explícita.
7.1.5.2.7.4 Permitir ajuste de bloqueio inteligente baseado em assinaturas recomendadas pelo fabricante.
7.1.5.2.7.5 Configurar e atualizar globalmente o bloqueio a um ataque, propagando a configuração e a atualização nas políticas de segurança.
7.2 Definição das responsabilidades do contratante e da contratada;
Conforme especificado neste documento.
7.3 Condições de Garantia e Assistência Técnica, Manutenção e Suporte Técnico:
7.3.1 A garantia, por período de 60 (sessenta) meses, contada a partir da emissão do termo de aceite da instalação, compreende atualização, manutenção e suporte técnico, que consiste em:
7.3.1.1 Evolução/upgrade do produto, repassando ao Banco do Brasil qualquer
atualização, melhoria ou correção introduzida nos produtos que componham a solução, bem como a catalogação de novas versões (releases), que contenham, além de outras, as funções dos produtos em questão;
7.3.1.2 Manutenção da solução, assim entendida a correção de erros de
funcionamento ou desempenho inconsistente com as especificações técnicas dos produtos;
7.3.1.3 Atuar na resolução de problemas de atualização da solução, upgrade, salvamento e restauração;
7.3.1.4 Fornecimento de qualquer informação relativa ao funcionamento da solução, dirimindo as dúvidas ou problemas operacionais na sua utilização;
7.3.1.5 Assegurar a total disponibilidade e manter a solução em perfeitas condições de uso;
7.3.1.6 Em caso de alteração de versão de quaisquer softwares fornecidos na solução integrada que implique em deformação ou inabilitação das
28
#Pública
funcionalidades, o proponente executará as alterações necessárias ao atendimento dos requisitos descritos neste documento, sem qualquer custo adicional para o Banco do Brasil.
7.3.2 O Banco do Brasil se reserva no direito de efetuar conexão da solução a produtos de outros fornecedores, seja hardware ou software, desde que tal iniciativa não implique incompatibilidade com a solução. A efetivação de tal medida não poderá, sob qualquer hipótese, servir como justificativa para desobrigação da prestação da garantia.
7.3.3 O proponente concederá ao Banco garantia integral “on-site” e/ou remoto, com
prazo de 60 (sessenta) meses, com atendimento 24 x 7 (vinte e quatro horas por dia e sete dias por semana) a contar da data de emissão do termo de aceite de instalação de cada solução, contra qualquer defeito de fabricação que os bens venham a apresentar, incluindo avarias no transporte até os locais de entrega, mesmo após ocorrida sua aceitação/aprovação pelo Banco, observadas as condições a seguir.
7.3.4 A garantia “on-site” indicada no item anterior será acionada em casos que não
forem possíveis a resolução de forma remota.
7.3.5 A garantia inclui a substituição de peças defeituosas ou que tenham sofrido
desgaste pelo uso normal, bem como de equipamentos que venham a apresentar 2 (dois) ou mais defeitos (com abertura de chamados) dentro de um intervalo de 15 (quinze) dias corridos.
7.3.6 Deverá ser efetuada manutenção corretiva sempre que a solução apresentar
falhas que impeçam o seu funcionamento normal e/ou requeiram a intervenção de técnico especializado.
7.3.7 As manutenções corretivas serão de responsabilidade do fornecedor, sem custos adicionais ao Banco do Brasil.
7.3.8 O proponente deve garantir ao Banco do Brasil o pleno acesso ao site do fabricante do produto, com direito a consultar quaisquer bases de dados disponíveis para usuários, e também a efetuar downloads das atualizações do software, atualização de listas e informações de threat intelligence ou documentação do software que compõem a solução.
7.3.9 O proponente deverá fornecer quaisquer atualizações e/ou correções de
software em até 48 (quarenta e oito) horas após sua disponibilidade no mercado, ficando a critério do Banco a implantação da atualização.
7.3.10 O proponente deverá:
7.3.10.1 Prover acesso ao ambiente de disseminação de conhecimento e
atualização da solução, de preferência via internet, à equipe técnica do Banco designada para essa atividade;
7.3.10.2 Acompanhar os testes e a homologação, caso o Banco julgue
29
#Pública
necessário, dos novos produtos ou pacotes de atualização/correção disponibilizados pelo fabricante.
7.3.11 Os chamados de suporte técnico terão a seguinte classificação quanto à
prioridade de atendimento:
7.3.11.1 Prioridade 0: Indica total impossibilidade de uso da solução. Nesse
caso, o atendimento inicial por parte do proponente ocorrerá em até 2 (duas) horas a partir da abertura do chamado. O Tempo de Recuperação Operacional (TRO) da solução, para chamados prioridade 0, deverá ser de no máximo 4 (quatro) horas, já incluindo o tempo para início do atendimento. Tempo de Recuperação Operacional representa o tempo máximo tolerado pelo Banco do Brasil para restabelecimento operacional do serviço interrompido, seja solução temporária ou definitiva.
7.3.11.1.1 Caso o problema não possa ser resolvido
remotamente, o proponente deverá colocar imediatamente à disposição do Banco do Brasil, um especialista devidamente habilitado e credenciado que trabalhará o tempo que for necessário para a solução do problema, sendo que o ônus financeiro de tal providência será do proponente.
7.3.11.1.2 Em ambos os casos de atendimento, remoto ou
presencial, o tempo de atendimento inicial e o tempo de recuperação operacional para chamados dessa criticidade, permanecem os mesmos indicados.
7.3.11.1.3 O atendimento de Prioridade 0 não poderá ser
interrompido até o completo restabelecimento do serviço envolvido, mesmo que se estenda por períodos noturnos e dias não úteis.
7.3.11.2 Prioridade 1: Indisponibilidade Parcial: Solução funcionando com
indisponibilidades de uma ou mais funcionalidades ou com fornecimento de informações incorretas que afetem seu funcionamento. Neste caso, o atendimento inicial por parte do proponente ocorrerá em até 4 (quatro) horas a partir da abertura do chamado. O Tempo de Recuperação Operacional da solução, para chamados prioridade 1, deverá ser de no máximo 12 (doze) horas, já incluindo o tempo para início do atendimento.
7.3.11.2.1 Caso o problema não possa ser resolvido remotamente, o proponente deverá colocar imediatamente à disposição do Banco do Brasil, um especialista devidamente habilitado e credenciado que trabalhará o tempo que for necessário para a solução do problema, sendo que o ônus financeiro de tal providência será do proponente.
7.3.11.2.2 Em ambos os casos de atendimento, remoto ou
30
#Pública
presencial, o tempo de atendimento inicial e o tempo de recuperação operacional para chamados dessa criticidade, permanecem os mesmos indicados anteriormente.
7.3.11.3 Prioridade 2: Indica problemas que não afetam as operações normais da solução e chamados abertos via telefone ou site. Neste caso, o atendimento inicial por parte do proponente ocorrerá em até 6 (seis) horas a partir da abertura do chamado. O Tempo de Recuperação Operacional, para chamados prioridade 2, deverá ser de no máximo 96 (noventa e seis) horas, já incluindo o tempo para início do atendimento.
7.3.11.4 Prioridade 3: Consultas técnicas, dúvidas e informações. Neste caso, o atendimento inicial por parte do proponente ocorrerá em até 24 (vinte e quatro) horas a partir da abertura do chamado. O Tempo de Recuperação Operacional, para chamados prioridade 3, deverá ser de no máximo 30 (trinta) dias corridos, já incluindo o tempo para início do atendimento.
7.3.12 O proponente estará sujeito a multa pelo descumprimento do Tempo de
Recuperação Operacional durante o período da garantia, aplicados sobre o valor do equipamento ou sistema que apresentar problema, por hora ou fração de hora de atraso, de acordo com os níveis de criticidade e os percentuais abaixo:
Prioridade TRO Evento de quebra da meta (hora ou fração)
Persistência de quebra (hora ou
fração)
0 4 (quatro) horas 0,5 % 0,25%
1 12 (doze) horas 0,25 % 0,15%
7.3.13 Os percentuais a que se referem o item anterior serão apurados mensalmente e
poderão ensejar a aplicação de multa no decorrer da vigência da garantia prestada pelo proponente. Nenhuma sanção será aplicada sem o devido processo, assegurada a ampla defesa.
7.3.14 A definição da prioridade de atendimento levará em conta a criticidade da
demanda e será estabelecido pelo Banco em conjunto com o proponente. Em caso de divergência de entendimento acerca da criticidade, caberá ao Banco a definição.
7.3.15 Decorrido o tempo para restabelecimento operacional, caso a solução apresentada não seja a definitiva, o proponente deverá elaborar plano de ação com o cronograma de atividades que serão executadas e seus respectivos prazos para a entrega da solução definitiva.
7.3.16 Após o aceite do plano de ação e o início da sua execução, o chamado gerador do plano poderá ser colocado em stand-by e deverá ser fechado definitivamente após a conclusão das atividades constantes no plano.
7.3.17 Os chamados, independente da criticidade, só poderão ser encerrados após a
solução definitiva e com a autorização do Banco.
31
#Pública
7.3.18 O proponente deverá registrar e manter relatório atualizado de
acompanhamento gerencial contendo os chamados realizados pelo Banco em sistema próprio de suporte, acessível pela internet, e que possa ser consultado/baixado sempre que necessário, contendo as informações abaixo:
7.3.18.1 Número do contrato;
7.3.18.2 Número do chamado registrado;
7.3.18.3 Nível de Criticidade (chamado);
7.3.18.4 Objeto do Chamado;
7.3.18.5 Data e hora de abertura (chamado);
7.3.18.6 Data e hora de início de atendimento (chamado);
7.3.18.7 Data e hora de encerramento (chamado) com ciência de
funcionário do Banco por escrito;
7.3.18.8 Identificação do técnico responsável pelo atendimento (do
proponente);
7.3.18.9 Descrição do problema;
7.3.18.10 Descrição da solução aplicada.
7.4 Medidas de Segurança para a transmissão e armazenamento de dados:
Não se aplica.
7.5 Alternativas para a continuidade dos negócios, no caso de
impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
Não se aplica.
7.6 Especificações técnicas
As especificações técnicas constam neste documento.
8 Serviços Agregados a Investimento
( ) Os serviços a serem contratados não envolvem valores previstos no ORFIX.
(X) Os serviços a serem contratados ENVOLVEM valores previstos no ORFFIX.
32
#Pública
Em caso positivo, preencher os dados abaixo:
a) Para 201X será no valor total de R$ XXX (valor por extenso), nos itens:
CÓDIGO PBMS EVENTO
CDA ITEM DA LC 116 QUANTIDADE
8.1 Os serviços agregados visam prolongar a vida útil, preservar a eficiência, produtividade e capacidade da solução durante o seu ciclo de vida.
8.2 Ainda não existe PBMS criado para o enquadramento dos serviços em questão. Os valores referentes aos serviços atrelados à solução podem variar de concorrente para concorrente, sendo que esses valores serão declarados no anexo da carta proposta.
8.3 Os serviços agregados são:
8.3.1 Instalação;
8.3.2 Implantação;
8.3.3 Garantia técnica para hardware/software.
Justificativa para inclusão dos serviços no orçamento de investimentos:
8.4 O escopo do projeto prevê a instalação e implantação da solução a ser
adquirida, com o objetivo de garantir o perfeito funcionamento e integração com a estrutura do Banco. Por tratar-se de solução tecnológica proprietária, os serviços tornam-se indispensáveis, pois ainda não há por parte do Banco o conhecimento necessário para operacionalização, customização de funcionalidades, otimização da solução, além da monitoração do funcionamento na estrutura do Banco.
8.5 Também está prevista garantia técnica. A finalidade é assegurar, até 05
(cinco) anos após a instalação, o funcionamento adequado e integral, a segurança e o melhor desempenho para o serviço, tendo em vista a criticidade das atividades desempenhadas por essa solução.
8.6 Portanto, o investimento contribuirá para preservar a capacidade, a
eficiência e a produtividade da solução durante o seu ciclo de vida.
9 Cláusulas Contratuais
1. Condições de Pagamento.
( ) As condições de pagamento serão aquelas estabelecidas na minuta padrão do
33
#Pública
contrato.
( X ) Outras: Especificar.
Pagamento de 45% após emissão do termo de aceite de entrega;
Pagamento de 45% após emissão do termo de aceite de instalação;
Pagamento de 10% após emissão do termo de aceite de implantação.
2. Das sanções Administrativas e multas contratuais.
9.2.1) Além das infrações administrativas previstas em edital, nos termos da Lei nº
13.303/16 e do RLBB, a contratada ficará sujeita, sem prejuízo da responsabilidade civil
e criminal, às seguintes sanções:
(X) Utilizar os percentuais de multa estabelecidos na minuta padrão de contrato.
( ) Utilizar os percentuais de multa abaixo:
Multa moratória de % ( por cento) por dia de atraso injustificado
sobre o valor da parcela inadimplida, até o limite de ( ) dias;
Multa compensatória de % ( por cento) sobre o valor total do
contrato, no caso de inexecução total do objeto;
Em caso de inexecução parcial, a multa compensatória, no mesmo percentual do
subitem acima, será aplicada de forma proporcional à obrigação inadimplida;
3. Definições do modelo de execução do contrato:
9.3.1 Rotinas de execução:
Prazos de fornecimento ou execução
dos serviços
Prazo para entrega: 60 dias
corridos, prorrogáveis por mais 15 dias corridos desde que justificado e aceito pelo Banco;
Prazo para instalação: 30 dias
corridos;
Garantia técnica executada durante
60 (sessenta) meses após a emissão do termo de aceite de instalação
34
#Pública
Horário de fornecimento dos bens ou prestação dos serviços
Dias úteis em horário comercial
Local(is) de entrega Edifício Sede IV – STN 716, Conjunto C, Brasília/DF ou Complexo Central de Tecnologia II – Datacenter Capital Digital, Lote 3, Granja do Torto, Brasília/DF.
Local(is) da prestação de serviço Edifício Sede IV – STN 716,
Conjunto C, Brasília/DF ou Complexo Central de Tecnologia II – Datacenter Capital Digital, Lote 3, Granja do Torto, Brasília/DF.
9.3.2 Documentos e relatórios a serem apresentados durante a vigência da garantia técnica.
Conforme consta nesta especificação.
9.3.3 Obrigações do contratante, quando couber:
Conforme consta nesta especificação.
9.3.4 Obrigações da contratada, quando couber:
Conforme consta nesta especificação.
4. Quantificação ou estimativa prévia do volume de serviços demandados ou
quantidade de bens a serem fornecidos, para comparação e controle.
Estima-se acionar os seguintes quantitativos para o primeiro ano:
Item Descrição 2020
1 IPS TIPO 1 -
2 IPS TIPO 2 4
3 IPS TIPO 3 6
4 IPS TIPO 4 2
5 IPS TIPO 5 -
6 IPS TIPO 6 -
35
#Pública
7 / 8 Sistema de Gerenciamento (Virtual ou Físico) 2
5. Definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a contratada e a Administração, adotando-se preferencialmente as Ordens de Serviço ou Fornecimento de Bens.
Disponibilizar abertura de chamado através da Internet (web), correio eletrônico ou
telefone (território nacional); fornecendo o nome do site, o endereço eletrônico ou número do telefone, na assinatura do contrato. O atendimento disponível deverá ser em língua portuguesa (PT-BR).
6. Aspectos de Segurança:
9.6.1 O proponente obriga-se por si, seus empregados, sócios, diretores e mandatários, manter total sigilo e confidencialidade no que se refere a não divulgação, por qualquer forma, de toda ou parte das informações ou documentos a ela relativos, e aos quais venha a ter acesso, em decorrência da prestação dos serviços executados;
9.6.2 O proponente se obriga a revelar as informações decorrentes da contratação, exclusivamente, a seus prepostos e funcionários diretamente envolvidos nas atividades que fazem uso ou tenham acesso permanente ou eventual às mesmas;
9.6.3 O proponente se obriga, ainda, a respeitar integralmente as normas de
segurança estabelecidas pelo Banco e atender os padrões de segurança e controle para acesso e uso das instalações e equipamentos do Banco, zelando por sua integridade, mantendo sigilo e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados, responsabilizando-se em caso de quebra de sigilo ou mau uso das informações obtidas por proponente ou preposto.;
9.6.4 Acessos Físico e Lógico - O Banco do Brasil analisará a liberação dos acessos
às dependências, equipamentos, softwares e sistemas que forem necessários ao cumprimento do objeto nos termos desta especificação;
9.6.5 Para tanto, o proponente deverá disponibilizar previamente as informações necessárias para acesso aos ambientes e atender às normas e políticas de segurança utilizadas pelo Banco do Brasil;
9.6.6 Adequação às Políticas de Segurança – o proponente deverá assegurar que
seus empregados estejam cientes e que devem obedecer às políticas de segurança de informações do Banco do Brasil e também de garantir adequação às políticas estabelecidas. O Banco do Brasil deverá atualizar o proponente sobre quaisquer alterações ocorridas nessas políticas;
9.6.7 Medidas de Segurança da Informação e dos Dados – o proponente irá gerenciar a segurança das informações e dados com os esforços necessários para restringir o acesso não autorizado. O proponente fará os esforços necessários para garantir que seus empregados e representantes estejam inteiramente cientes dos riscos associados com problemas e riscos inerentes à segurança da informação;
36
#Pública
9.6.8 Confidencialidade da Informação - Ambas as partes concordam em manter a
confidencialidade de toda a informação a respeito dos negócios, ideias, produtos, clientes ou serviços da outra parte, que podem ser consideradas como “informação confidencial”;
9.6.9 A disponibilização de profissional para atendimento “on site” estará sujeita às
políticas de Gestão de Segurança do Banco do Brasil S.A.
9.6.10 Os acessos às dependências e aos equipamentos do Banco do Brasil S.A.
necessários para prestação dos serviços deverão obedecer às normas de segurança utilizadas pelo Banco do Brasil S.A.
9.6.11 O proponente irá gerenciar a segurança das informações e dados para restringir o acesso não autorizado e deve garantir que seus empregados e representantes estejam inteiramente cientes dos riscos associados com problemas inerentes à segurança da informação.
7. Acordo de nível de serviço ou Nível Mínimo de Serviço Exigido (NMSE):
Não se aplica.
8. Matriz de Riscos
Os riscos decorrentes de fatos supervenientes à contratação, associados à escolha da
solução de projeto básico pelo Banco, deverão ser alocados como de sua responsabilidade na matriz de riscos, a qual deverá conter, no mínimo, as informações abaixo (art. 83 do RLBB):
a) listagem de possíveis eventos supervenientes à assinatura do contrato, impactantes
no equilíbrio econômico-financeiro da avença, e previsão de eventual necessidade de prolação de termo aditivo quando de sua ocorrência;
b) estabelecimento preciso das frações do objeto em que haverá liberdade das contratadas para inovar em soluções metodológicas ou tecnológicas, em obrigações de resultado, em termos de modificação das soluções previamente delineadas no anteprojeto ou no projeto básico da licitação;
c) estabelecimento preciso das frações do objeto em que não haverá liberdade das contratadas para inovar em soluções metodológicas ou tecnológicas, em obrigações de meio, devendo haver obrigação de identidade entre a execução e a solução pré-definida no anteprojeto ou no projeto básico da licitação.
MATRIZ DE RISCOS PADRÃO
37
#Pública
CATEGORIA
DO RISCO DESCRIÇÃO CONSEQUÊNCIA
ALOCAÇÃO
DO RISCO
Risco
atinente ao Tempo da Execução
Atraso na execução do objeto
contratual por culpa do Contratado.
Aumento do custo do produto e/ou do serviço.
Contratado
Fatos retardadores ou
impeditivos da execução do Contrato próprios do risco
ordinário da atividade empresarial ou da execução.
Aumento do custo do produto e/ou do serviço.
Contratado
Fatos retardadores ou impeditivos da execução do
Contrato que estejam na álea econômica.
Aumento do custo do
produto e/ou do serviço. Contratante
Risco da
Atividade
Empresarial
Alteração de enquadramento tributário, em razão do
resultado ou de mudança da atividade empresarial, bem
como por erro do Contratado na avaliação da hipótese de
incidência tributária.
Aumento ou diminuição
do lucro do Contratado. Contratado
Variação da taxa de câmbio. Aumento ou diminuição
do custo do produto e/ou do serviço.
Contratado
Elevação dos custos
operacionais para o desenvolvimento da atividade empresarial em geral e para a
execução do objeto em particular, tais como aumento
de preço de insumos, prestadores de serviço e mão
Aumento do custo do
produto e/ou do serviço. Contratante
38
#Pública
de obra.
CATEGORIA DO RISCO
DESCRIÇÃO CONSEQUÊNCIA ALOCAÇÃO DO RISCO
Riscos
Trabalhistas e
Previdenciários
Responsabilização do BB por verbas trabalhistas e
previdenciárias dos profissionais do Contratado alocados na execução do
objeto contratual.
Geração de Custos trabalhistas e/ou
previdenciários para o BB, além de eventuais
honorários advocatícios, multas e verbas sucumbenciais.
Contratado
Risco
Tributário e Fiscal (Não
Tributário).
Responsabilização do BB por recolhimento indevido em valor menor ou maior
que o necessário, ou ainda de ausência de
recolhimento, quando devido, sem que haja culpa
do BB.
Débito ou crédito tributário ou fiscal (não
tributário). Contratado
9. Vigência contratual.
A Ata de Registro de Preços terá vigência de 24 (vinte e quatro) meses contados a partir da assinatura.
10. Aviso Prévio:
( ) Não será exigido.
(X) Serão exigidos, no mínimo 90 dias de aviso prévio.
10 Anexos :
1. Modelo de Plano de Testes.
2. Testes mínimos para homologação da solução.
39
#Pública
3. Especificações da etiqueta metálica.
4. Modelo de Termo de Aceite de Entrega.
5. Modelo de Termo de Aceite de Instalação.
6. Modelo de Termo de Aceite de Implantação.
7. Minuta de termo de compromisso com o sigilo da informação.
11) Indicação do Fiscal do Serviço.
Informar a matrícula e nome do funcionário que atuará como Fiscal do Serviço, para fins
de cadastramento no aplicativo SISLOG:
Matrícula Nome
F4713339 Jiuliano de Cezare Ribeiro de Barros
12) ASSINATURA
Assinatura de dois comissionados, sendo pelo menos um deles de 3º nível gerencial
(RO 3G) da Área Demandante.
40
#Pública
ANEXO 1
MODELO DE PLANO DE TESTES PARA HOMOLOGAÇÃO
Logo e nome da empresa
proponente
PREGÃO ELETRÔNICO Nº xxxx/xxxx
Revisão: 01
CARDENO DE TESTES Página: 1/1
CADERNO DE TESTES
(Descrição do objeto licitado – Por exemplo: “Aquisição de IPS”) (Descrição do processo licitatório– Por exemplo: “ Homologação do Pregão Eletrônico
Nº.XXXX/XXXX”
41
#Pública
Sumário (Sumário descritivo das informações do processo e etapas da homologação)
1. OBJETIVO DO CADERNO DE TESTE (Nele deve conter a descrição breve do objetivo
deste Caderno), conforme exemplo abaixo.
2. ESTRUTURA FÍSICA (Mostrar a estrutura física que será utilizada para comprovação
dos testes relacionados no anexo do EDITAL, “Folha de testes”. Informar os
equipamentos ou softwares virtuais que serão entregues para homologação contendo no
mínimo as informações: “Quantidade”, “Modelo de Equipamento” e “ Descrição”),
conforme exemplo abaixo.
3. AMBIENTE DE TESTE (Submeter desenho da topologia lógica que será utilizada na
realização dos testes. Descrever o ambiente configurado com informações tais como,
endereços de rede, regras da solução implementada, NATs, controles de aplicações,
assinaturas, geração de logs e demais informações relevantes a realização dos testes
relativos ao objeto licitado), conforme exemplo abaixo.
4. RELATÓRIO FINAL (Deve conter as informações de referência do item do Edital ou item
da folha de testes que está sendo avaliado, conter o objetivo do teste a configuração
utilizada e o procedimento adotado para realização), conforme exemplo abaixo.
42
#Pública
1. OBJETIVO DO CADERNO DE TESTE
Por exemplo: “Este caderno de testes faz referência ao item XX do termo de referência do certame XXXX/XXXX, que visa comprovar as funcionalidades e requisitos técnicos Da solução XYZ”
2. ESTRUTURA FÍSICA
Por exemplo: Pode inserir imagens dos equipamentos e tabela com as informações:
Quantidade Modelo Equipamento Descrição
2 Firewalls ABC NFGW+IPS
1 Switch XYZ Para conexão dos elementos de rede
1 Servidor Alfa Servidor para teste do ambiente de Virtualização
1 Gerador de tráfego Por exemplo: “Spirent”
a. CABEAMENTOS:
i. “Cabos UTP cat. 6”
ii. “Transceivers XYZ”
3. AMBIENTE DE TESTE
Inserir desenho de topologia. Por exemplo: “Introdução: Para execução dos testes será utilizado uma estrutura de ambiente em formato XYZ, composta por uma LAN, WAN e o elemento k (objeto da licitação) configurado com as seguintes regras: abc, xyz e os endereços klm”.
4. RELATÓRIO FINAL
Cada item do Edital ou da folha de testes deve ser evidenciado na formatação descrita abaixo:
a)
Data da realização do teste:
Item x.y.z do edital A solução de firewall deve possuir throughput de 4 (quatro) Gbps com IPS habilitado.
Objetivo do Teste Verificar os índices de throughput.
Configuração do Teste Configurado profiles de Sensor de IPS com as assinaturas ativas.
Procedimento do Teste Gerar trafego a partir do gerador de tráfego para fazer match na regra com os itens habilitados.
Evidências “Print de tela” ou conforme documentação do fabricante
Anotações
43
#Pública
Conformidade do adquirente
b)
Data da realização do teste:
Item k.l.m do edital A solução deve possuir Syslog
Objetivo do Teste Demonstrar opção de configuração de syslog
Configuração do Teste Acessar system settings
Procedimento do Teste Acessar advanced -> syslog serve
Evidências “Print de tela”
Anotações
Conformidade do adquirente
44
#Pública
ANEXO 2 TESTES MÍNIMOS OBRIGATÓRIOS PARA HOMOLOGAÇÃO DA SOLUÇÃO:
• A critério do Banco mais testes podem ser exigidos para comprovação dos demais itens destes EDITAL.
• Os elementos de tráfego e percentuais descritos nos itens “a” e “b” servem como exemplo de características mínimas a serem exigidas do ambiente de teste. No momento da homologação em laboratório o Banco poderá solicitar outros elementos e outros percentuais.
a. Características de tráfego para homologação:
DNS 2%
MAIL (SMTP) 2%
OTHER(uTorrent, Skype, Exchange, SQL, RDP)
1%
ATAQUES 5%
VPN(IPSEC) 5%
WEB(HTTP/HTTPS) 85%
b. Configuração dos pacotes baseados no tráfego IMIX:
• Pacotes de 1518 bytes (15%)
• Pacotes de 64 bytes (61%)
• Pacotes de 594 bytes (24%)
c. Preparação Inicial:
• A solução ofertada deverá possuir todas as versões mais recente e recomendada pelo fabricante de firmware, software, listas de assinaturas e afins, bem como todas as correções e patches disponíveis pelos canais oficiais de suporte técnico do fabricante da solução.
• A LICITANTE convocada deverá prover os equipamentos ou solução especializados de geração de tráfego e ataques, sem custos adicionais ao Banco.
d. Testes obrigatórios:
• A solução ofertada, uma vez tendo as suas bases de assinaturas atualizada, deve ser configurada para proteção com todas as assinaturas padrão habilitadas recomendadas pela fabricante em seu perfil padrão;
• Teste1
o Testes de throughput, conexões por segundo e conexões concorrentes.
45
#Pública
▪ Throughput: – empregar o uso de gerador de tráfego utilizando de
protocolo HTTP com pacotes conforme variação indicada até a
capacidade exigida de cada equipamento (40/20/10/1Gbps).
▪ Conexões por segundo e Novas conexões por segundo: – Realizar várias
chamadas http get simulando diferentes origens (clientes), alterando IP
ou alterando “user agente”, ou alterando cookie até a capacidade exigida
de cada equipamento; ou pode-se empregar equipamentos de geração
de tráfego para atendimento do item.
• Teste2
o Testes de reconhecimento de ataques onde o NGIPS deverá detectar e impedir o
êxito da investida.
▪ Realizar os ataques abaixo:
• SQL injection,
• XSS(Cross-site scripting),
• CSRF(Cross-site request forgery),
• Man-in-the-middle attack,
• shellCodes,
• ClientSideAttacks,
• DNS Tunneling e
• ARP spoofing.
▪ Simular ataques de fragmentação de IP, TCP e “HTTP Fragmentation
Attack”.
▪ Simular um ataque DDos e testar as políticas de contenção. Demonstrar
como limitar a banda do tráfego.
▪ Simular ataques SYN flood e demonstrar a ação do NGIPS.
• Teste3
o Criar políticas ou assinaturas para controle de aplicativos, para aplicativos
comuns, tais como: Facebook, Yahoo! Instant Messenger e Gmail.
• Teste4
o Validação do Fail-Open - Validar o funcionamento em caso de Falha do NGIPS
para atestar a não interrupção do tráfego.
▪ O equipamento deverá demonstrar uma conectividade por meio de ping,
por exemplo, em seguida deverá ser desligado e espera-se que a
conexão não interrompa.
▪ Testar o gerenciamento do mecanismo de by-pass, ativação e
desativação, por meio de ação do administrador.
46
#Pública
ANEXO 3
ETIQUETA METÁLICA
=====================================================================
SUPRIMENTO - Etiqueta metálica, para identificação de bens, com sistema de impressão
com código de barras.
PBMS: NN.NN.NNN-NNNNNN-X
=====================================================================
1. ESPECIFICAÇÕES:
Dimensões:
- Largura: 27,0 mm;
- Comprimento: 54,0 mm;
- Espessura: de 0,3 a 0,5 mm.
Material: alumínio anodizado.
Afixação:
- Local: de fácil visualização;
- Sistema: por meio de rebites ou parafusos (nesse caso a plaqueta deverá ter furos laterais) ou
através de cola com alto poder de adesão e longa duração (cola de junta de motores marca
3M ou similar de idêntica qualidade).
Processo de gravação:
- Código de barras no sistema de codificação padrão 3 de 9;
- Deverá permitir uma perfeita leitura dos códigos e caracteres gravados;
- Deverá ser resistente às variações de temperatura, umidade, claridade e produtos químicos
abrasivos;
47
#Pública
1
- Gravação na cor preta;
- Caracteres na tipologia: Arial.
Leiaute: O leiaute abaixo deverá ser rigorosamente obedecido quando da confecção das
etiquetas.
OBS.: Os dados de identificação do bem (etiqueta) poderão ser impressos/gravados diretamente no equipamento, com caracteres e código de barras legíveis, com alto nível de contraste e de alta durabilidade, seguindo-se rigorosamente as dimensões, leiaute e padrão de fontes especificados para etiqueta. Não será permitido em hipótese alguma que a impressão/gravação se apague ou seja possível raspa-la do bem.
1 - Título “PBMS”; fonte: Arial.
2 - Número do PBMS do equipamento, conforme informado posteriormente, via arquivo pelo Banco do Brasil. Fonte: Arial, 18 caracteres numéricos; formato: NN.NN.NNN-NNNNNN-X.
3 - Texto descritivo do equipamento, conforme informado posteriormente, via arquivo pelo Banco do Brasil. Fonte: Arial, 27 caracteres.
4 - Código de barras: codificação do campo 6 descrito sem o traço. Tamanho: 14 caracteres; padrão: código 39; densidade mínima: 7,7 CPI (caracteres por polegada) barra fina / barra larga: 1 / 3; largura máxima das barras mais estreitas (módulo X): 0,18mm.
2
6
5
4
3
48
#Pública
5 - Título universal do equipamento, “Nr. Universal”; fonte: Arial.
6 - Número universal do equipamento, conforme informado posteriormente, via arquivo pelo Banco do Brasil. Fonte: Arial, 15 caracteres, formato: NNNNNNNNNNNNN-X.
OBS.: os dados a serem gravados na etiqueta serão fornecidos quando da aquisição da mesma.
49
#Pública
ANEXO 4
========================================================================= TERMO DE ACEITE DE ENTREGA
=========================================================================
INSTRUÇÕES À DEPENDÊNCIA USUÁRIA DO BEM:
a) Antes de atestar o recebimento, conferir os bens e, se for o caso, a existência na embalagem de manual de uso informando: modelo do bem/equipamento, especificação técnica, prazo de garantia, endereço e telefone da rede autorizada de assistência técnica.
b) Além de assinar este termo, que será entregue ao FORNECEDOR, a Dependência usuária do bem deverá, OBRIGATÓRIA e simultaneamente, dar o aceite eletrônico, por meio do SISBB, Aplicativo SISLOG, Opção 2-5-21-1. c) No recebimento de bens/materiais/equipamentos, caso o valor total da nota fiscal ou nota fiscal de simples remessa seja superior a R$ 80.000,00, este termo deverá conter as assinaturas de três (03) funcionários da Dependência. ATA Nº _______________ EMPRESA: _____________________________ Agência:_______________________________ Endereço:_______________________________________________________ Prefixo: _________________ UF: ____________ Solicitação de Entrega/Contrato nº ......... DESCRIÇÃO/MODELO EQUIPAMENTO:__________________________________________________ QUANTIDADE: Prazo de Garantia: PBMS:_________________________________________ N. F. VENDA N.F. REMESSA Nº UNIVERSAL Obs.: antes de atestar o recebimento, conferir os bens e, se for o caso, a existência na embalagem de manual de uso informando: modelo do bem/equipamento, especificação técnica, prazo de garantia, endereço e telefone da rede autorizada de assistência técnica. Data do Recebimento do bem: ___/____/___ Para efeito do pagamento, fica o fornecedor dispensado de apresentar o TERMO DE ENTREGA, caso seja impostado eletronicamente pelo BANCO.[INCLUIR ESTA DECLARAÇÃO APENAS NA HIPÓTESE DE NÃO HAVER NECESSIDADE DE MAIOR TEMPO OU A REALIZAÇÃO DE TESTES PARA AVALIAR A QUALIDADE DO MATERIAL, E/OU O FORNECEDOR AINDA ESTIVER OBRIGADO A CUMPRIR OUTRAS OBRIGAÇÕES, COMO, POR EXEMPLO, MONTAR E INSTALAR MÓVEIS E EQUIPAMENTOS] Nome do Funcionário: _________________________________________ Nº Matrícula:__________________________ _____________________________________ ________________________ Assinatura do Funcionário
50
#Pública
ANEXO 5
=========================================================================
TERMO DE ACEITE DE INSTALAÇÃO
=========================================================================
INSTRUÇÕES À DEPENDÊNCIA USUÁRIA DO BEM:
Além de assinar este termo, que será entregue ao FORNECEDOR, a Dependência usuária do bem deverá, OBRIGATÓRIA e simultaneamente, dar o aceite eletrônico, por meio do SISBB, Aplicativo SISLOG, Opção 2-5-21-4. No recebimento de bens/materiais/equipamentos, caso o valor total da nota fiscal ou nota fiscal de simples remessa seja superior a R$ 80.000,00, este termo deverá conter as assinaturas de três (03) funcionários da Dependência. Atestamos que de acordo com a Ata nº ......., celebrada entre o Banco do Brasil S.A. e a empresa ............, e a Solicitação de Entrega/Contrato .... [INDICAR O NÚMERO DA SOLICITAÇÃO DE ENTREGA OU CONTRATO CORRESPONDENTE, CONFORME O CASO] foi realizada a instalação do(s) bem(ns) abaixo relacionado(s), nesta Dependência, e que o(s) mesmo(s) foi(ram) testado(s) e encontra(m)-se em perfeito estado/funcionamento: Bem nº ____________________ NF S. Remessa __________ NF Venda __________ Bem nº ____________________ NF S. Remessa __________ NF Venda __________ Dependência: ____________ (Prefixo e Nome) Data de instalação: _________/________/_________ Nome do Funcionário ou do preposto: _________________________________________________ Nº Matrícula ou nº do documento de identidade do preposto:______________________________ ___________ (UF), __ de _____________ de _____ ___________________________________________ Assinatura do Funcionário ou do preposto
51
#Pública
ANEXO 6 =========================================================================
TERMO DE ACEITE DE IMPLANTAÇÃO =========================================================================
INSTRUÇÕES À DEPENDÊNCIA USUÁRIA DO BEM:
Atestamos que de acordo com a Solicitação de Entrega/Contrato..... [INDICAR O NÚMERO DA SOLICITAÇÃO DE ENTREGA OU CONTRATO CORRESPONDENTE, CONFORME O CASO]
foi realizada a implantação dos bens abaixo relacionados, nesta Dependência, e que os mesmos foram testados e encontram-se em perfeito estado/funcionamento:
Nº DO BEM NF S. REMESSA NF VENDA
Dependência: ____________ (Prefixo e Nome) Data de implantação: _________/________/_________ Nome do Funcionário ou do preposto: _________________________________________________ Nº Matrícula ou nº do documento de identidade do preposto: ____________ ___________ (UF), ____ de _________________ de ________.
_____________________________________ Assinatura do Funcionário ou do preposto
52
#Pública
ANEXO 7
MINUTA DE TERMO DE COMPROMISSO COM O SIGILO DA INFORMAÇÃO
Eu, ______________________________________________________________, portador do documento de identidade nº _________________, expedido pela ________________________________, CPF nº ________________________, pelo presente Termo, assumo perante a empresa [prestadora de serviços] ________________________ o compromisso de manutenção de sigilo sobre as informações a que tenha acesso ou conhecimento no âmbito do Banco do Brasil em razão das atividades profissionais a serem realizadas em decorrência do contrato de trabalho ___________________________________, sob pena de responsabilidade penal, civil e administrativa. Comprometo-me a não divulgá-las ou comentá-las interna ou externamente e cumprir as condutas adequadas contra destruição, modificação, reprodução, divulgação e acesso indevidos, seja acidental ou intencionalmente, nos termos da Política de Segurança da Informação e de acordo com os Critérios para Tratamento da Informação Corporativa do Banco do Brasil, expressos no Portal de Políticas de Segurança da Informação (PSI) (www.bb.com.br/psi). Estou ciente que este Termo refere-se a todas as informações do BANCO - dados, processos, informações, documentos e materiais - seja qual for o meio ou suporte através do qual seja materializada ou compartilhada: escrita em papel ou nos sistemas eletrônicos, falada em conversas formais e informais, disseminada nos meios de comunicação internos como reuniões, televisão etc., e que estejam protegidas por lei, como sigilo fiscal, bancário, de operações e serviços no mercado de capitais, comercial, empresarial, profissional, industrial e segredo de justiça. Este compromisso permanece mesmo após a extinção do contrato de trabalho com a empresa prestadora de serviços. Declaro que o BANCO tem minha permissão prévia para acesso e monitoramento do ambiente de trabalho. Local e Data Empresa_________________________________________________ Identificação do contrato de trabalho - Nome: ______________________________________________________ CPF: ________________________ RG: ___________________________ Assinatura: _____________________________________
Assinatura do Usuário Autorizado por: ______________________________________________ preposto da empresa prestadora do serviço Cargo______________________________________________
