ESPECIFICAO TCNICA SERVIOS GERENCIADOS DE SEGURANA 1. OBJETO. Contratao de empresa especializada na prestao de servios gerenciados de segurana lgica, no modelo 24hs por dia, 7 dias por semana, 365 dias por ano, inicialmente por 36 meses, incluindo o conjunto de hardware e software fornecidos em regime de comodato, necessrios e suficientes para a prestao desses servios, de acordo com o seguinte escopo: 1.1. Servio de Firewall/VPN, para controle do trfego nos segmentos protegidos; 1.2. Servio de IPS (Sistema de Preveno de Intrusos), para deteco e bloqueio de intruso nos segmentos protegidos; 1.3. Servio de Gesto de Vulnerabilidades, para descoberta e gesto de eventuais de falhas segurana no ambiente; 1.4. Servio de Filtro de E-mail, para controle do trfego de e-mail e proteo contra vrus, spam e contedo indesejado; 1.5. Servio de Gesto de Antivrus Corporativo para os servidores e estaes de trabalho do BANPAR para identificar e mitigar infeces por vrus; 1.6. Disponibilizao de banco de 6.000 (seis mil) horas para a prestao de servios tcnicos, que possam ser utilizadas sob demanda. 2. DESCRIO DOS SERVIOS. 2.1. Implantao das Solues 4.1.1. A CONTRATADA dever realizar a implantao das solues, com configurao, instalao, testes e fornecimento dos hardwares e softwares relacionados, em regime de comodato, para o seguinte escopo: 2.1.1.1. Servio de Firewall/VPN; 2.1.1.2. Servio de IPS (Sistema de Preveno de Intrusos); 2.1.1.3. Servio de Gesto de Vulnerabilidades; 2.1.1.4. Servio de Filtro de E-mail; 2.1.1.5. Servio de Gesto de Antivrus Corporativo para os servidores e estaes de trabalho do BANPAR; 4.1.2. Todas as atividades envolvidas sero acompanhadas e coordenadas por analistas e tcnicos do BANPAR; 4.1.3. A implantao das solues, quando realizadas no ambiente de produo, podero ter as atividades realizadas aps o expediente (horrios noturnos ou em finais de semana e feriados); 4.1.4. A CONTRATADA ser responsvel por efetuar as atividades de integrao da soluo de monitorao remota com o ambiente operacional do BANPAR, sem prejuzo aos servios desta; 4.2. Prestao dos Servios Contnuos 4.2.1. Os servios devero ser prestados remotamente, a partir de Centros de Operao de Segurana (SOC) prprios, localizados no Brasil, estritamente de acordo com as especificaes deste documento; 4.2.2. Os servios de monitorao remota da segurana devero ser realizados pela CONTRATADA, na modalidade 24x7 (vinte e quatro horas por dia, sete dias na semana); 4.2.3. Para a manuteno do hardware e software ofertados, bem como para a prestao de suporte aos servios de monitorao remota, a CONTRATADA deve possuir infraestrutura de suporte tcnico, disponvel em perodo integral, ou seja, 24x7 (vinte e quatro horas por dia, sete dias por semana), nos seguintes modelos: 4.2.3.1. Suporte tcnico remoto: suporte prestado por meio de Central de Atendimento 0800 ou equivalente ligao local, web, e-mail e fax, para: 1

4.2.3.1.1. Esclarecimento de dvidas relacionadas prestao dos servios, polticas e regras implementadas, funcionalidade da soluo e incidentes de segurana, sendo este atendimento imediato; 4.2.3.1.2. Atendimento s solicitaes de alteraes (incluso e excluso) de polticas e regras; 4.2.3.1.3. Atendimento s solicitaes de log e relatrios; 4.2.3.2. Suporte tcnico local: atendimento in-loco, prestados por tcnicos capacitados para a soluo de problemas relacionados aos equipamentos e softwares. 4.2.3.3. Para o atendimento tcnico local, a CONTRATADA dever possuir operaes comerciais e tcnicas no estado do Par. 4.2.4. As verses dos softwares ofertados pela CONTRATADA sempre devero estar com a verso mais atual disponvel no mercado. A verso anterior: 4.2.4.1. No poder permanecer instalada mais do que 03 (trs) meses, aps o lanamento da ltima verso homologada; ou 4.2.4.2. Poder permanecer instalada por tempo maior, desde que acordado com o BANPAR. 4.2.5. Devero ser apresentados pela CONTRATADA, no mnimo, relatrios analticos mensais contendo o diagnstico dos ambientes monitorados, obtido atravs do cruzamento das informaes coletadas pelos softwares. Tais relatrios devero estar disponveis para o BANPAR a qualquer momento, se solicitado, devendo ser disponibilizados em at 24 (vinte e quatro) horas aps a solicitao; 4.2.6. Os recursos humanos envolvidos na atividade de monitorao remota da segurana devero ser dedicados s atividades de monitorao, ou seja, os mesmos no podero executar outras atividades na CONTRATADA; 4.2.7. Os recursos humanos envolvidos na prestao de servio de monitorao remota da segurana devero estar capacitados na soluo envolvida. Entende-se por capacitao: certificados profissionais emitidos pelos fabricantes das solues que sero gerenciadas; 4.2.8. A CONTRATADA dever interagir com os analistas e tcnicos do BANPAR para dirimir dvidas relacionadas ao servio prestado; 4.2.9. A CONTRATADA dever disponibilizar 0800 para abertura e acompanhamento de chamados. 4.2.9.1. Os chamados abertos somente podero ser fechados aps autorizao de funcionrio designado pelo BANPAR. 4.2.9.2. O fechamento por parte da contratada que no tenha sido previamente autorizado pelo BANPAR poder ensejar aplicao de multa a CONTRATADA no valor conforme termo de contrato do valor mensal pelos servios por ocorrncia; 4.2.9.3. O BANPAR informar as pessoas autorizadas a abrir e fechar chamados junto a CONTRATADA, bem como o meio pelo qual a autorizao de fechamento ser formalizada; 4.2.10. Manuteno das Regras e Polticas e verses dos softwares 4.2.10.1. Toda e qualquer alterao na configurao da soluo (aplicao de novas regras, excluso de regras, atualizao de verses, aplicaes de patches, etc.) devero ocorrer mediante autorizao formal do BANPAR; 4.2.10.2. O BANPAR, no momento da implantao da soluo, indicar as pessoas que podero autorizar as referidas alteraes. A CONTRATADA implementar mecanismos que garantem a identificao destas pessoas; 4.2.10.3. As alteraes das configuraes devero ocorrer em horrios determinados pelo BANPAR; 4.2.10.4. O tempo de atendimento das solicitaes de alteraes das polticas e regras feitas pelo BANPAR no dever ultrapassar o SLA (acordo de nvel de servio) especificado neste documento, a contar da efetivao da solicitao; 4.2.10.5. A CONTRATADA dever efetuar, em laboratrio prprio, os testes necessrios antes de implementar qualquer alterao no ambiente de monitorao 2

(polticas, regras, verses, etc.), evitando impactos negativos nos servios do BANPAR; 4.2.10.6. O BANPAR poder solicitar, por escrito, o acesso s senhas de configurao dos equipamentos disponibilizados pela CONTRATADA em regime de comodato. O BANPAR designar duas pessoas para terem acesso a(s) senha(s), que devem ser fornecidas de forma segura. O BANPAR dever seguir os procedimentos documentais acordado entre as partes, caso venha a fazer uso deste acesso, e se responsabilizar pelas conseqncias que por ventura possam advir deste acesso; 4.2.11. Controle dos Servios Realizados pela CONTRATADA 4.2.11.1. Para o controle e administrao dos servios realizados pela CONTRATADA, o BANPAR poder nomear at 02 (dois) representantes autorizados a interagir com aquela. Tais representantes sero responsveis por: 4.2.11.1.1. Manter as informaes tcnicas (configurao do ambiente) atualizadas, bem como dar suporte na implantao e manuteno da soluo; 4.2.11.1.2. Definir as estratgias, polticas e regras a serem implantadas, e analisar os relatrios gerados pelos softwares que compem a soluo; 4.2.11.1.3. Tomar providncias necessrias em caso da ocorrncia de algum incidente (anlise dos logs, rastreamento da ocorrncia). 4.2.11.2. Para cada soluo implantada a CONTRATADA emitir relatrios definidos pelo BANPAR; 4.2.11.3. A CONTRATADA realizar reunies mensais, nas dependncias do BANPAR, para dirimir dvidas sobre o servio contratado, anlise e entendimento dos relatrios gerenciais e administrativos e reviso das configuraes e procedimentos implementados; 4.2.11.4. O BANPAR poder realizar auditoria nas instalaes do Centro de Operaes de Segurana (SOC), com o objetivo de verificar as instalaes fsicas, a segurana fsica e lgica do ambiente, e demais itens exigidos neste documento, desde que previamente acordada com a CONTRATADA; 4.2.11.5. A CONTRATADA dever ministrar workshop visando treinar a equipe do BANPAR quanto a: 4.2.11.5.1. Soluo de monitorao remota da segurana implantada; 4.2.11.5.2. Apresentao da funcionalidade e dos recursos de cada produto que faz parte da soluo. 4.2.12. Armazenamento dos logs de auditoria: 4.2.12.1. O BANPAR, caso julgue insuficiente as informaes gravadas nos arquivos de logs, poder solicitar alteraes na configurao junto CONTRATADA; 4.2.12.2. O tempo de reteno dos logs gerados dever ser equivalente ao prazo da vigncia contratual. Ao final do contrato, a CONTRATADA no dever ficar com nenhuma cpia dos mesmos, repassando-os para o BANPAR em meio magntico antes da sua destruio. 4.2.13. Ocorrncia de Incidentes 4.2.13.1. No caso de deteco de algum incidente de segurana, a CONTRATADA pode acionar o BANPAR imediatamente, para que sejam tomadas as medidas corretivas e legais necessrias, de acordo com o procedimento de resposta a incidentes; 4.2.13.2. Sero considerados incidentes de segurana: os acessos indevidos, instalao de cdigos maliciosos, indisponibilizao dos servios (DoS), ataques por fora bruta, ou qualquer outra ao que vise prejudicar a funcionalidade dos servios do BANPAR; 4.2.13.3. A CONTRATADA dever comunicar imediatamente o BANPAR, para que possam ser tomadas aes preventivas, os casos de tentativas de acessos indevidos, de instalao de cdigos maliciosos, ou de qualquer outra ao que venham por em risco a segurana do ambiente do BANPAR, sem sucesso, mas que seja detectada insistncia por parte da pessoa mal intencionada; 3

4.2.13.4. A CONTRATADA dever disponibilizar todas as informaes necessrias (origem do ataque, tipo de ataque, data e hora, logs, etc.) para que sejam apurados os incidentes de segurana reportados; 4.2.13.5. Dependendo do grau do incidente, a CONTRATADA poder deslocar recurso tcnico capaz de dar suporte ao problema, para compor o tempo de resposta do BANPAR, visando dirimir quaisquer dvidas e dar suporte nas providncias a serem customizadas. 4.2.14. Soluo de Hardware e Software da CONTRATADA 4.2.14.1. Os software e hardware necessrios para implantao do servio de monitorao, gerncia e administrao remota da segurana fazem parte dos servios a serem prestados pela CONTRATADA durante o prazo do contrato; 4.2.14.2. A manuteno das licenas do hardware e software necessrios, junto aos fabricantes, ser de responsabilidade da CONTRATADA, devendo esta apresentar cpia autenticada das mesmas anualmente ao BANPAR; 4.2.14.3. O hardware e software ofertados devero ser compatveis com o ambiente operacional do BANPAR; 4.2.14.4. A CONTRATADA responsvel pela manuteno preventiva e corretiva do hardware por ela ofertado; 4.2.14.5. O hardware e o software devem ser fornecidos em regime de comodato, exceto para o servio de anti-vrus, pois o BANPAR j dispe de tais licenas, do fabricante McAfee; 4.2.15. Servio de Gesto de Antivrus Corporativo 4.2.15.1. Escopo: 4.2.15.1.1. Gerncia de 2.500 dispositivos (servidores de rede e estaes de trabalho), utilizando as licenas de anti-vrus j adquiridas pelo BANPAR, contemplando: 4.2.15.1.2. Alterao e incluso de regras 4.2.15.1.3. Alterao de configuraes 4.2.15.1.4. Atualizao do antivrus 4.2.15.1.5. Atualizao (implementao de patches e fixes) 4.2.15.1.6. Atuao remota para resoluo de problemas 4.2.15.1.7. Atuao local para resoluo de problemas 4.2.15.1.8. Apresentao de relatrio mensal tcnico 4.2.15.1.9. Apresentao relatrio emergencial 4.2.15.2. Servio 4.2.15.2.1. Gerenciar a proteo na camada de Estaes, Notebooks e Servidores 4.2.15.2.2. Caractersticas gerais 4.2.15.2.2.1. Gerenciar a proteo aos seguintes sistemas operacionais: Windows 2000 Professional, Windows XP Professional, Windows 2000/2003 Server, Windows Vista 32 e 64 bits, Windows 7 32 e 64 bits, Windows Server 2008, Linux RedHat e Debian. 4.2.15.2.2.2. Acompanhar a deteco e remoo de todos os tipos de cdigos maliciosos (malwares) incluindo Vrus, Spywares, Adwares; Graywares, Worms, Trojans, Rootkits, Hijackers e Keyloggers; 4.2.15.2.3. Caractersticas relacionadas Administrao 4.2.15.2.3.1. Acompanhar o status da ltima poltica de controle de epidemia (outbreak) e da poltica em andamento dos seguintes tipos: 4.2.15.2.3.1.1. Vrus / Malware; 4.2.15.2.3.1.2. Spyware / Grayware; 4.2.15.2.3.1.3. Firewall Violation; 4.2.15.2.4. Caractersticas relacionadas ao gerenciamento 4.2.15.2.4.1. Gerenciar o status atualizado das estaes de trabalho, com as seguintes informaes: data das vacinas, verso do antimalware, nome da mquina, status da conexo e IP; 4

4.2.15.2.4.2. Gerenciar a atualizao automtica dos arquivos de vacina contra malwares (update), dos mecanismos de verificao/correo (engine) e dos programas do sistema (upgrade); 4.2.15.2.5. Caractersticas relacionadas ao gerenciamento dos cdigos maliciosos 4.2.15.2.5.1.1. Acompanhar a deteco e remoo de malwares de macro em tempo real; 4.2.15.2.5.1.2. Notificar o administrador em caso de epidemia de malwares; 4.2.15.2.5.1.3. Acompanhamento da reparao de danos causados por malwares do tipo Trojan Horse para reestabelecimento de operacionalidade; 4.2.15.2.5.1.4. Aplicar polticas de preveno contra possveis epidemias para uma mquina, para um grupo composto de vrias mquinas ou para o domnio composto por vrios grupos; 4.2.15.2.6. Gerar relatrios mensais com as seguintes informaes: 4.2.15.2.6.1. Vrus identificados; 4.2.15.2.6.2. Vrus no limpos; 4.2.15.2.6.3. Total de arquivos verificados; 4.2.15.2.6.4. Quantidade de arquivos bloqueados; 4.2.15.2.6.5. Quantidade de contedo violado; 4.2.15.2.6.6. Grfico de vrus identificado por ms; 4.2.15.2.6.7. Grfico de arquivos bloqueados por ms; 4.2.15.2.6.8. Grfico de violao de contedo por ms; 4.2.15.2.6.9. Tipo de ao tomada; 4.2.15.2.7. Acompanhamento do Gerenciamento Centralizado 4.2.15.2.7.1. Acompanhar atravs da console de gerenciamento centralizada, a execuo de tarefas de limpeza automtica de cdigos maliciosos existentes em registros do sistema operacional, de processos em tempo real e arquivos executveis, eliminados de forma definitiva sem a interveno humana; 4.2.15.2.7.2. Gerenciar o plano de distribuio das atualizaes aos demais produtos. 4.2.16. Encerramento dos Servios de Monitorao Remota da Segurana 4.2.16.1. Quando do encerramento da prestao do servio de monitorao remota da segurana, a CONTRATADA dever retirar os componentes da soluo, comunicando a retirada ao BANPAR, por escrito, com 30 dias de antecedncia; 4.2.16.2. Todas as informaes de customizao, polticas e regras, logs de auditoria sero disponibilizadas para o BANPAR, em mdia magntica ou via rede, e em seguida eliminadas da base de dados da CONTRATADA. 4.3. Disponibilizao de um banco de 6.000 (seis mil) horas de servios tcnicos durante o perodo do contrato, que podem ser utilizadas sob demanda, para a prestao dos seguintes servios: 4.3.1. Aplicao de correes de segurana nos ativos do BANPAR, exceto naqueles fornecidos em comodato, de acordo com o objeto desta licitao; 4.3.2. Consultoria em segurana da informao para: 4.3.2.1. Elaborao de pareceres 4.3.2.2. Anlise forense 4.3.2.3. Anlises de segurana em elementos que estejam fora do escopo desta licitao 4.3.2.4. Capacitao em segurana da informao; 4.3.3. No haver imposio do nmero mnimo de horas, a ser atendido pela CONTRATADA, para cada solicitao de uso do banco de horas; 4.3.4. A CONTRATADA dever atender a cada solicitao de uso do banco de horas em, no mximo, 15 dias corridos; 5

4.3.5. As despesas com passagens e hospedagem para o uso do banco de horas j devem estar includas no preo da hora. 5. DAS CONDIES PARA A PRESTAO DO SERVIO. 5.1. Os centros de operaes de segurana (SOC) j devem estar em pleno funcionamento na data da abertura deste edital e devem possuir alta disponibilidade, atendendo aos seguintes requisitos: 5.1.1. Os ativos de TI empregados no monitoramento (servidores, rede, software, etc.) devero estar hospedados em ambiente com as seguintes caractersticas mnimas: 5.1.1.1. Possuir sistemas redundantes para armazenamento de dados e alimentao de energia; 5.1.1.2. Possuir estrutura de armazenamento de dados que permita a manuteno dos registros dos eventos relacionados aos servios contratados por, no mnimo, o prazo do CONTRATO. Aps este perodo devero ser disponibilizadas para o BANPAR, em mdia magntica ou via rede, e em seguida eliminadas da base de dados da CONTRATADA; 5.1.1.3. Estar configurados de forma que a falha de nenhum dos equipamentos isoladamente interrompa o funcionamento dos sistemas; 5.1.1.4. Estar hospedados em dois data centers diferentes, de forma que a falha completa de um dos data centers no afete o funcionamento dos sistemas. Cada um dos data centers deve atender as seguintes especificaes: 5.1.1.4.1. Possuir sistemas redundantes para armazenamento de dados e alimentao de energia; 5.1.1.4.2. Possuir estrutura de armazenamento de dados que permita a manuteno dos registros dos eventos relacionados aos servios contratados por no mnimo 180 dias. Aps este perodo devero ser disponibilizadas para o contratante, em mdia magntica ou via rede, e em seguida eliminadas da base de dados da CONTRATADA; 5.1.1.4.3. Estar configurados de forma que a falha de nenhum dos equipamentos isoladamente interrompa o funcionamento dos sistemas; 5.1.1.4.4. Estar hospedados em dois data centers diferentes, de forma que a falha completa de um dos data centers no afete o funcionamento dos sistemas. Cada um dos data centers deve atender as seguintes especificaes: 5.1.1.4.4.1.1. Possuir dispositivos redundantes para fornecer energia eltrica e controle de temperatura. Cada um destes dispositivos deve ter capacidade para manter a operao isoladamente em caso de manuteno planejada ou falha. 5.1.1.4.4.2. Possuir caminhos de distribuio de energia eltrica, fluidos e gases para refrigerao e conexes de rede local redundantes de modo que um caminho permanea ativo e o outro possa ser utilizado como alternativa em caso de manuteno planejada ou falha. Os sistemas de distribuio que devem ser considerados nessa especificao so: 5.1.1.4.4.2.1. Cabine para recebimento de energia externa 5.1.1.4.4.2.2. Cabeamento de transmisso de energia 5.1.1.4.4.2.3. Quadros de distribuio 5.1.1.4.4.2.4. Dutos de gua gelada 5.1.1.4.4.2.5. Cabos para conexes de rede 6

Possuir mltiplas entradas independentes para fornecimento de energia eltrica. Cada entrada para fornecimento de energia eltrica deve ser capaz de isoladamente suportar a operao do data center; 5.1.1.4.4.4. Possuir mltiplas conexes independentes para acesso a Internet. Cada conexo para acesso a Internet deve ser capaz de isoladamente suportar a operao do data center; 5.1.1.5. A LICITANTE deve possuir ao menos dois SOCs de modo que a indisponibilidade de um deles no afete nenhum aspecto dos servios prestados. Os SOCs devem estar localizados no Brasil, em cidades diferentes e a no mnimo 50km de distancia geodsica um do outro. Cada um deles deve atender aos seguintes requisitos mnimos: 5.1.1.5.1. Estar localizado em prdio comercial que: 5.1.1.5.1.1. Possua gerador de energia para as reas privativas. O gerador deve ser acionado automaticamente em casso de falta de energia e fornecer energia estabilizada em at 2 minutos aps a partida. Os geradores devem suportar a demanda das instalaes por at 12 horas sem necessidade de reabastecimento. 5.1.1.5.1.2. Efetue registro dos visitantes com identificao individual e controle digital de entrada e sada. 5.1.1.5.1.3. Possua circuito interno de registro e gravao de imagem em todas as reas de circulao. 5.1.1.5.1.4. Esteja localizado prximo a vias de grande circulao com acesso imediato a transportes pblicos de mais de uma modalidade. 5.1.1.5.1.5. Funcione em regime 24 x7. 5.1.1.5.1.6. Possua sistema de refrigerao de conforto central. 5.1.1.5.2. Registrar todas as entradas e sadas mantendo o registro armazenado para consulta por ao menos 90 dias. 5.1.1.5.3. Filmar permanentemente toda a rea armazenada mantendo as imagens armazenadas por mais de 90 dias. 5.1.1.5.4. Possuir UPS que suporte todos os equipamentos essenciais ao funcionamento por, pelo menos, 30 minutos. 5.1.1.5.5. Estar conectado aos Data Centers que hospedam os sistemas de suporte tcnico, monitoramento, administrao e gerenciamento atravs de mltiplas conexes de rede local ou wan de forma que a falha de uma conexo isoladamente no afete o acesso aos mesmos; 5.1.1.5.6. Possuir estrutura central para visualizao dos painis dos sistemas de suporte tcnico, monitoramento, administrao e gerenciamento que permita que todos os profissionais visualizem eventos relevantes simultaneamente. 5.2. Equipe 5.2.1. A CONTRATADA deve fornecer pessoal necessrio e tecnicamente habilitado boa e integral execuo dos servios; 5.2.2. A CONTRATADA deve fornecer todos os materiais e servios prprios e adequados execuo dos trabalhos, competindo-lhe ainda o fornecimento das demais utilidades relacionadas ao cumprimento do objeto deste edital; 5.2.3. A CONTRATADA deve retirar dos servios qualquer empregado que, a critrio do BANPAR, seja julgado inconveniente ao bom andamento dos trabalhos; 7

5.1.1.4.4.3.

5.2.4. A CONTRATADA deve comunicar, imediatamente, por escrito quaisquer dificuldades encontradas pelos tcnicos alocados para execuo dos servios que, eventualmente, possam prejudicar a boa e pontual execuo dos trabalhos, sob pena de serem tais dificuldades consideradas inexistentes; 5.2.5. A LICITANTE deve possuir no seu quadro permanente, no mnimo, profissionais com os certificados especificados na Tabela 1: Certificao Certified Information Systems Security Professional (CISSP) Certified Information Security Management (CISM) Certified Information Security Auditor (CISA) ISO 27.002 Certificao na soluo de Firewall/VPN ofertada Certificao na soluo de IPS ofertada Certificao na soluo de Gesto de Vulnerabilidades ofertada Certificao na soluo de Filtro de E-mail ofertada Certificao na soluo de Antivrus da McAfeeTabela 1: Quadro de profissionais certificados.

Quantidade de Profissionais 01 01 01 01 01 01 01 01 01

5.2.5.1.

5.2.5.2.

Comprovao de que o profissional funcionrio em regime CLT ou scio, fornecendo cpia da carteira de trabalho ou Contrato/Estatuto Social da Empresa. Caso ocorra o desligamento de qualquer um dos profissionais exigidos no item 5.2.5 ou 5.2.6 durante a vigncia do contrato, a empresa dever providenciar um substituto, com as mesmas certificaes, no prazo mximo de 15 dias.

5.3. Experincia 5.3.1. A LICITANTE deve possuir 02 (dois) atestado(s) de capacidade tcnica, focados em prestao de Servios Gerenciados de Segurana, 24x7x365, onde so ou foram prestados todos os servios que compem o objeto deste Edital: Firewall/VPN, IPS, Filtro de E-mail, Gesto de Vulnerabilidades e EndPoint Security, conferido por empresas pblicas ou privadas. O(s) atestado(s) devem comprovar que a(s) rede(s) gerenciada(s) somam, pelo menos, 2.500 (dois mil e quinhentos) hosts; 5.3.2. A LICITANTE deve ser parceiro qualificado de todos os fabricantes das solues que sero gerenciadas (Firewall/VPN, IPS, Filtro de E-mail, Gesto de Vulnerabilidades e Endpoint Security). 5.4. Outras Caractersticas 5.4.1. No ser permitida a participao de consrcios e sub-locao de servios e parte ou de modo global. 6. ESPECIFICAO DAS SOLUES TCNICAS.

6.1.

Soluo de Firewall/VPN

6.1.1. O Firewall deve possuir as seguintes caractersticas de hardware 6.1.1.1. 02 (dois) equipamentos de firewall, paredes e redundantes entre si (Ativo/Stand by); 6.1.1.2. Deve ser do tipo appliance com hardware e software do mesmo fabricante. 8

6.1.1.3. 6.1.1.4. 6.1.1.5. 6.1.1.6. 6.1.1.7.

Deve possuir pelo menos 08 (oito) interfaces Gigabit Ethernet 10/100/1000; Deve permitir a criao de, no mnimo, 150 VLANs; Deve possuir throughput de firewall de, no mnimo, 450 Mbps; Deve possuir throughput de VPN de, no mnimo, 225 Mbps; Deve suportar, no mnimo, 280.000 (duzentas e oitenta mil) sesses concorrentes de firewall;

6.1.2. O Firewall deve possuir as seguintes caractersticas de software: 6.1.2.1. Integrao em appliance das funes: Firewall e VPN; 6.1.2.2. Interface Web para administrao e gerenciamento do Firewall / VPN; 6.1.2.3. Conexo remota via: SSHv2; 6.1.2.4. Suporta SNMPv3; 6.1.2.5. Gerencivel via WEB; 6.1.2.6. Inclui fornecimento de licenas ilimitadas para o VPN Client; 6.1.2.7. Compatvel com: 802.1x e NAC (Network Admission Control). 6.1.3. O Firewall deve possuir as seguintes caractersticas de segurana: 6.1.3.1. Stateful Inspection Firewall; 6.1.3.2. Bridging firewall; 6.1.3.3. NAT transparency; 6.1.3.4. Firewall support for skinny clients; 6.1.3.5. Hardware-accelerated 3DES for IPSec; 6.1.3.6. Hardware-accelerated AES for IPSec; 6.1.3.7. IPSec 3DES termination/initiation; 6.1.3.8. IPSec passthrough; 6.1.3.9. Point-to-Point Tunneling Protocol (PPTP) passthrough; 6.1.3.10. L2TP passthrough; 6.1.3.11. 802.1; 6.1.3.12. Secure HTTP (HTTPS), FTP, and Telnet authentication proxies; 6.1.3.13. Suporte para 250 (duzentos e cinqenta) VPN IPSec Tunnels ou mais; 6.1.3.14. Advanced Application Inspection and Control; 6.1.3.15. No Service Password Recovery; 6.1.3.16. System Logging-EAL4 Certification Enhancements; 6.1.3.17. Easy VPN Remote Web Based Activation; 6.1.4. O Firewall deve possuir as seguintes caractersticas de rede: 6.1.4.1. Security Contexts; 6.1.4.2. Layer 2 Transparent Firewall; 6.1.4.3. VLAN-Based Virtual Interfaces; 6.1.4.4. OSPF Dynamic Routing; 6.1.4.5. Routing Information Protocol (RIP) Dynamic Routing; 6.1.4.6. Multicast Routing; 6.1.4.7. QoS Services; 6.1.4.8. IPv6 Networking; 6.1.4.9. Security Level per Network Interface; 6.1.4.10. Dynamic Host Configuration Protocol (DHCP) Server; 6.1.4.11. DHCP Relay; 6.1.4.12. Network Time Protocol (NTPv3) Client. 9

6.1.5. O Firewall deve possuir as seguintes caractersticas de gerenciamento: 6.1.5.1. Command Line Interface (CLI); 6.1.5.2. Policy Framework; 6.1.5.3. Authentication, Authorization, and Accounting (AAA) Services; 6.1.5.4. Cut-Through Proxy Services; 6.1.5.5. SNMP Monitoring; 6.1.5.6. Flexible Syslog and Security Device Event Exchange (SDEE) Monitoring; 6.1.5.7. Software and Configuration File Import and Export; 6.1.5.8. SSH and SCP; 6.1.5.9. Storage of multiple configurations and software images in flash memory; 6.1.5.10. Secure Asset Recovery; 6.1.5.11. Scheduled System Reloads; 6.1.5.12. Dedicated Out-of-Band Management Interface; 6.1.5.13. Packet Capture; 6.1.5.14. Extended ICMP Ping Services; 6.1.5.15. SMTP E-Mail Alerts; 6.1.5.16. Management of LAN switch ports; 6.1.5.17. Telnet, Simple Network Management Protocol (SNMPv3), CLI, and HTTP management; 6.1.5.18. RADIUS and TACACS+.

6.2.

Soluo de IPS (Sistema de Preveno de Intrusos)

6.2.1. Hardware 6.2.1.1. 02 (dois) equipamentos sensores; 6.2.1.2. Para cada equipamento sensor: 6.2.1.2.1. Throughput (Taxa de Transferncia): no mnimo, 1,5 Gbps; 6.2.1.2.2. Quantidade de Interface de Monitoramento: 6.2.1.2.3. Cobre no mnimo, 08 interfaces 1Gbps 6.2.1.2.4. Possibilitar alternativa da configurao de interfaces non-failopen e failopen; 6.2.1.2.5. Suporte a bypass nas Interfaces de monitoramento; 6.2.1.2.6. Possuir fonte de Alimentao: Redundante; 6.2.2. Software 6.2.2.1. Filtrar de forma automtica os falsos-positivos; 6.2.2.2. Funcionalidades de IPS/IDS; 6.2.2.3. Possibilitar visualizao, edio e criao de regras; 6.2.2.4. Possibilitar personalizar workflow de visualizao de dados; 6.2.2.5. Possuir base de dados incorporada; 6.2.2.6. Sistema de anlise de vulnerabilidades embutidos de forma nativa no sistema. Este item poder ser substitudo se a soluo de gesto de vulnerabilidades oferada para atender o item 7.4 tiver integrao com esta soluo de IPS; 6.2.2.7. Suportar IPv6 nativo, e dentro do IPv6 trfego tunneled dentro de pacotes IPv4; 6.2.2.8. Possuir Setup Wizard nativo; 6.2.2.9. Possibilitar ao cliente utilizar pacotes de latncia thresholding, possibilitando automaticamente desativar temporariamente no caso de sensor in line; 6.2.2.10. Possuir multiplas polticas de IPS; 10

6.2.2.11. Oferecer proteo do dia-zero; 6.2.2.12. Possibilitar inspecionar a qualidade das assinaturas e regras. Solues que permitam a customizao de assinaturas de ataques e ofeream o modo simulado de funcionamento do IPS, tambm sero aceitas; 6.2.2.13. Possuir Certificao NSS Labs; 6.2.2.14. A soluo deve ser capaz de funcionar em modo passivo ou ativo simultaneamente em portas distintas; 6.2.2.15. A soluo deve suportar opo de Fail-Open aceitando a passagem de trfego mesmo com o sensor indisponvel por qualquer motivo; 6.2.2.16. A soluo deve ser baseada em sistemas operacionais hardenizados; 6.2.2.17. A soluo deve usar autenticao forte e mecanismos de criptografia para todos os componentes da soluo; 6.2.2.18. Os equipamentos sensores devem ser appliances; 6.2.2.19. A soluo deve monitorar a si prpria e alertar quando anomalias fsicas forem identificadas; 6.2.2.20. A soluo deve monitorar a si prpria em relao a ataques; 6.2.2.21. A soluo deve enviar informao para SIEMs de forma criptografada sem utilizar softwares externos como VPNs, tneis de SSH, etc; 6.2.2.22. A soluo deve guardar o estado de todas as sesses; 6.2.2.23. A soluo deve remontar todos fluxos de pacote direcionados ao destino, para eliminar possveis tentativas de evaso; 6.2.2.24. A soluo deve possuir capacidade de inspeo profunda de pacotes (DPI), incluindo o payload, observando por trfegos anmalos; 6.2.2.25. A soluo deve permitir aplicao de novas polticas sem interrupo de trafego; 6.2.2.26. A soluo deve permitir reinicializao do sensor sem interrupo de trafego; 6.2.2.27. A soluo deve normalizar todas URLs para identificar ameaas a URLs especificas; 6.2.2.28. A soluo deve prover estatstica de pacotes descartados; 6.2.2.29. A soluo deve prover a visualizao da informao RAW, contendo o cabealho e o payload do pacote para fins de forensics, exportando a informao em formato pcap para anlises posteriores; 6.2.2.30. A soluo deve possuir configurao de tresholds para todos alertas identificados; 6.2.2.31. Deve prover updates regulares; 6.2.2.32. A soluo no deve reescrever regras modificadas pelo usurio; 6.2.2.33. Deve possuir capacidade de identificar os pacotes referentes a uma dada regra; 6.2.2.34. Deve aceitar regras que aceitem a injeo de payloads alternativos em um dado pacote enviado a um determinado host; 6.2.2.35. Deve permitir a criao de assinaturas para protocolos no padres; 6.2.2.36. Deve guardar informaes sobre sesses, incluindo hora de inicio e final, portas, quantidade de informao, servios (URL inclusa se HTTP).

6.3.

Soluo de Gesto de Vulnerabilidades6.3.1. 6.3.1.1. Hardware 01 (um) appliance 11

6.3.1.2.

O equipamento deve ter, integrado no mesmo, a engine de scan da rede, o banco de dados e o gerenciador; 6.3.1.3. Licena para varredura em at 2.500 (dois mil e quinhentos) endereos IPs; 6.3.1.4. Possuir arquitetura em modelo appliance; 6.3.1.5. Possuir, no mnimo, duas interfaces 10/100/1000Mbps Ethernet AutoSense; 6.3.2. Software 6.3.2.1. A ferramenta deve ter recurso para descoberta e criao de topologia dos ativos da rede. Entende-se por ativo da rede qualquer computador, dispositivo, equipamento de rede que possua endereo IP, sem a necessidade de qualquer agente instalado nas estaes; 6.3.2.2. A ferramenta deve ter a capacidade de se atualizar dinamicamente a partir do site do fabricante, possibilitando a descoberta das vulnerabilidades mais recentes; 6.3.2.3. A ferramenta deve apresentar os passos necessrios para a realizao da remediao das vulnerabilidades encontradas; 6.3.2.4. A ferramenta deve ter a capacidade de abrir e fechar chamados automaticamente em ferramentas de gerenciamento de tickets, para a realizao de servios de atualizao manual; 6.3.2.5. A ferramenta deve possuir um mecanismo de pontuao que permita medir o nvel de risco dos sistemas e dos recursos de rede da empresa; 6.3.2.6. Capacidade de trabalhar com diferentes nveis de usurios e com diferentes acessos; 6.3.2.7. A ferramenta deve ter a capacidade de definir o nvel de criticidade de cada ativo para worms e exploits, auxiliando na do que mais prioritrio para ser remediado. 6.3.2.8. A ferramenta deve ter a capacidade de correlacionar os eventos baseados nos sistema operacional, porta, protocolo, banners e vulnerabilidades; 6.3.2.9. A ferramenta deve possuir uma arquitetura aberta e que permita interoperar com outros sistemas a partir de uma API especfica, permitindo a integrao mnima com os seguintes sistemas: Netegrity Siteminder, RSA Secure ID, LDAP; 6.3.2.10. Suportar os padres CVE, IAVA & SANS/FBI Top 20; 6.3.2.11. A ferramenta deve ter a capacidade de detectar vulnerabilidades em dispositivos de redes sem fio, aplicaes baseadas em Web, bases de dados, aplicaes comerciais, sistemas operacionais e dispositivos de rede; 6.3.2.12. Toda a comunicao entre a console e o gerenciador deve ser encriptada, baseada em protocolo SSL; 6.3.2.13. Deve trabalhar com banco de dados integrado no appliance; 6.3.2.14. A ferramenta deve possuir a capacidade de criao de organizaes e grupos com permisses de acesso distintas; 6.3.2.15. A ferramenta deve possibilitar a criao de diferentes tipos de relatrios baseados nos formatos: HTML padro, CSV, XML e PDF; 6.3.2.16. Os relatrios e as varreduras devem ser configuradas para serem executados imediatamente, contnuo ou: diariamente, semanalmente ou mensalmente; 6.3.2.17. Os relatrios devem apresentar informaes sobre o nvel de risco de cada varredura, o risco por plataforma, o risco por vulnerabilidade; 6.3.2.18. Os relatrios devem ter no mnimo as seguintes informaes: sumrio, score com o nvel de risco, topologia de rede descoberta, hosts descobertos, servios 12

6.3.2.19.

6.3.2.20. 6.3.2.21.

6.3.2.22.

6.3.2.23.

6.3.2.24.

6.3.2.25. 6.3.2.26. 6.3.2.27.

descobertos, vulnerabilidades, detalhes sobre os dispositivos de redes sem fio descobertos, vulnerabilidades em windows, vulnerabilidades em aplicaes web, informaes de tendncias e histrico de configurao; Os alertas devem apresentar informaes detalhadas sobre o nome da vulnerabilidade, descrio detalhada sobre a vulnerabilidade, os hosts afetados incluindo endereo IP, nome comum, os servios abertos no host e as vulnerabilidades afetadas; A ferramenta deve suportar o envio de alertas via email; A ferramenta deve possuir a capacidade de verificaes de vulnerabilidades: de uma forma no invasiva, invasiva, por tipo de risco, categoria, CVE e MS number; O processo de verificao de vulnerabilidades em ambiente Windows deve incluir: deteco de hot fixes, service packs, registros, backdoors, trojans, peer to peer, antivrus, presena de modems nas estaes; O processo de verificao de vulnerabilidades em equipamentos wireless WiFi, deve ser capaz de descobrir equipamentos conectados via rede cabeada, descobrir o sistema operacional do dispositivo, detectar vulnerabilidades usando HTTP e SNMP; O processo de verificao de vulnerabilidades em Web deve ser capaz de testar riscos de segurana em arquivos de dados, backups e diretrios por extenso .txt, .gz, .zip e .log, alm de descobrir vulnerabilidades de SQL nas aplicaes Web; Os sistema deve ter a capacidade de configurar a velocidade da varredura de forma a no impactar a performance da rede; As vulnerabilidades devem ser categorizadas em Alto, Mdio, Baixo e Informativo; Possuir uma linguagem de scripts que permita a criao de novas varreduras customizadas por usurio, de modo a somente mostrar os recursos disponibilizados para cada usurio.

6.4.

Soluo de Filtro de E-Mail

6.4.1. Hardware 6.4.1.1. 02 (dois) equipamentos, para fins de redundncia; 6.4.1.2. Licena para 2.000 (duas mil) caixas postais de correio eletrnico. 6.4.2. Software 6.4.2.1. Performance 6.4.2.1.1. Ser capaz de suportar, no mnimo, 10.000 conexes SMTP simultneas; 6.4.2.2. Funcionalidades de Segurana 6.4.2.2.1. Sistema Operacional proprietrio, customizado e desenvolvido para ser seguro e robusto de forma a suportar o produto de proteo para email; 6.4.2.2.2. Sistema de arquivos proprietrio desenvolvido para otimizar as filas de mensagens; 6.4.2.2.3. MTA proprietrio; 6.4.2.2.4. Criado com linguagem de programao que no utiliza pilhas (sem risco de vulnerabilidade a ataques do tipo estouro de pilha / stack overflow); 6.4.2.2.5. Possuir habilidade de controlar as sesses SMTP e limitar o trfego de mensagens baseado em endereo IP, range de IPs, subnet IP, nome de domnio, nome parcial de domnio e reputao do emissor; 13

6.4.2.2.6. Ser capaz de restringir as conexes baseado em tamanho mximo de mensagem, nmero mximo de destinatrios por mensagem, nmero mximo de mensagens por conexo e nmero mximo de conexes simultneas por IP; 6.4.2.2.7. Ser capaz de restringir conexes baseado no nmero mximo de destinatrios por hora; 6.4.2.2.8. Possibilitar limitar o nmero mximo de conexes simultneas no Appliance; 6.4.2.2.9. Possibilitar o bloqueio ou engargalamento de maus remetentes e definir polticas individuais por remetente (tanto externo quanto interno) baseado em: IP Emissor, range de IP, domnio, reputao do emissor e lista DNS; 6.4.2.2.10. Rate limit controlado por endereo de IP, domnio ou reputao do Emissor; 6.4.2.2.11. Controle de mximo de destinatrios trafegados por perodo de tempo; 6.4.2.2.12. Possibilitar definir o fluxo de trfego baseado em perodos de tempo; 6.4.2.2.13. Checar DNS reverso e atribuir polticas; 6.4.2.3. Possibilitar configurar por poltica: 6.4.2.3.1. Habilitar TLS preferido ou obrigatrio 6.4.2.3.2. Autenticao SMTP preferido ou obrigatrio 6.4.2.4. Integrar com OpenLDAP, Active Directory ou outros servidores LDAP que possibilitem identificar usurios invlidos; 6.4.2.5. Rejeitar mensagens para destinatrios invlidos durante o dilogo SMTP (prevenir Non-Delivery Report Attack); 6.4.2.6. Possibilitar o controle de bounce de e-mail; 6.4.2.7. Monitorar trfego de mensagens em tempo real que permita identificar parmetros crticos como volume de mensagens, histrico de conexes, conexes aceitas e rejeitadas, taxa de aceitao e de limites, filtros de reputao correspondentes, nmero de mensagens de spam positivos e suspeitos, nmero de vrus identificados; 6.4.2.8. Monitorar fluxo de mensagens em tempo real (detalhes do fluxo de mensagens por domnio e IP). Os fluxos de entrada e sada de mensagens devem ser exibidos separadamente; 6.4.2.9. Gerar estatsticas em tempo real de destinatrios invlidos, bloqueados por reputao, Spams e Vrus encontrados, alm das mensagens limpas (por domnio e IP); 6.4.2.10. Gerar estatsticas em tempo real de mensagens bloqueadas por rate limit, conexes rejeitadas, spams e vrus detectados na ltima hora, ltimo dia, ltima semana e ltimo ms, alm dos bytes recebidos de acordo com o domnio ou IP; 6.4.2.11. O sistema de reputao deve utilizar dados de uma das maiores redes de monitorao de trfego web e de email para definir a reputao dos remetentes, consultando um nmero mnimo de 100.000 redes participantes com cobertura global; 6.4.2.12. A rede de reputao no deve somente ser baseada em informaes de fluxo da prpria base de Appliances instalada, mas sim em inmeros outros relatrios provenientes de: gaiolas de Spam, listas de URL, listas de equipamentos comprometidos, composio da mensagem, IPs em blacklist, volume global de trafego, listas brancas, composio da mensagem e web crawlers; 14

6.4.2.13. Possibilitar o controle de trfego de Email por reputao atribuda pela rede de reputao, de cada IP que solicitou uma conexo. A rede de reputao deve monitorar no mnimo 90 parmetros de Email e 40 de Web; 6.4.2.14. Suportar a verificao da autenticidade dos remetentes utilizando Domain Keys/DKIM/SPF/Sender ID; 6.4.2.15. Ser capaz de criar perfis de criptografia tanto para uso de servidores externos quanto servidores internos; 6.4.2.16. Ser capaz de criptografar mensagens localmente atravs de criao de regras que especifiquem quais mensagens devem ser criptografadas; 6.4.2.17. Ser capaz de criar perfis diferentes para cada uma das regras especficas de mensagens a serem criptografadas; 6.4.2.18. O mtodo de criptografia utilizado no deve depender da instalao de softwares ou plugins na mquina do remetente e do destinatrio; 6.4.2.19. O sistema deve gerar chaves por mensagem impossibilitando que a chave de uma mensagem possa abrir uma outra mensagem mesmo que para o mesmo destinatrio; 6.4.2.20. Deve ser capaz de acessar servidor de chaves remoto atravs de Proxy; 6.4.2.21. Deve ter 2 (dois) nveis de segurana de acesso na leitura das mensagens criptografadas: 6.4.2.21.1.Nvel alto: O receptor da mensagem deve entrar com credenciais de senha todas as vezes que abrir a mensagem mesmo que a senha esteja em cache; 6.4.2.21.2.Nvel Mdio: A senha no requisitada se estiver em cache, ou seja caso o receptor tenha aberta a mensagem uma vez, no ser necessrio digitar novamente ao reabrir a mensagem enquanto a senha estiver em cache. 6.4.2.22. Deve usar no mnimo um dos seguintes algoritmos de criptografia: AES ou 3DES; 6.4.2.23. Deve permitir que os receptores das mensagens criptografadas possam responder e/ou encaminhar mensagem de forma criptografada, para garantir a segurana da informao; 6.4.2.24. O sistema deve permitir que os templates das mensagens criptografadas possam ser customizadas; 6.4.2.25. As regras de mensagens a serem criptografadas podem ser criadas para estar de acordo com as normas de conformidade, tais como SOX; 6.4.2.26. O sistema deve proporcionar os seguintes controles das mensagens enviadas: 6.4.2.26.1.Permitir ao remetente configurar um tempo de expirao da chave (caso o tempo tenha expirado a mensagem no poder ser aberta); 6.4.2.26.2.Permitir ao remetente cancelar a chave da mensagem antes mesmo que o destinatrio a receba; 6.4.2.26.3.Enviar notificao de leitura da mensagem assim que o destinatrio acesse a chave para abertura da mensagem; 6.4.2.27. As mensagens no devero ser armazenadas no servidor de chaves ou no appliance de criptografia; 6.4.2.28. A mensagem deve ser entregue em um anexo criptografada e somente a chave deve ser transmitida entre o servidor e o destinatrio em um acesso seguro do tipo SSL; 6.4.2.29. Possibilitar o envio de mensagens criptografadas sem a necessidade de uso de javascript; 15

6.4.3. 6.4.3.1.

Gerenciamento de Polticas Suportar trfego de entrada e sada no mesmo Appliance, mas possibilitar gerenciamento de polticas separadas; 6.4.3.2. Possibilitar atribuir diferentes endereos IP ao mesmo appliance, possibilitando a administrao de diversos domnios com MXs diferentes, respeitando polticas diferenciadas para cada um deles; 6.4.3.3. Cada endereo IP deve oferecer respostas SMTP e banners diferenciados. (Ex.: 220 mx.exemplo.com.br para o IP A, 220 mx.outroexemplo.com.br para o IP B); 6.4.3.4. Possibilitar customizar o banner SMTP, o hostname e os cdigos de resposta; 6.4.3.5. Suportar mltiplos domnios por endereo IP; 6.4.3.6. Permitir gerenciar polticas por usurio ou grupo de usurios (baseado em endereo/domnio de remetente/destinatrio ou grupo do LDAP, exemplo: um nico email enviado para diversos destinatrios devem ser processados cada um por sua poltica especfica); 6.4.3.7. Viso nica de todas as polticas de usurios, para uma administrao fcil e objetiva; 6.4.3.8. Controle de fluxo baseado em grupo de remetentes: 6.4.3.8.1. Blacklists (IP, Domnio, Reputao); 6.4.3.8.2. Whitelists (IP, Domnio, Reputao); 6.4.3.8.3. Possibilitar criao de vrios grupos (por IP, domnio ou reputao); 6.4.3.8.4. RBLs/ORBLs proprietrio ou de terceiros; 6.4.3.8.5. Whitelist e blacklist de endereos de remetentes e destinatrios; 6.4.3.9. Identificao de arquivos anexos pelo tipo real do arquivo, pelo nome do arquivo, pela extenso e pelo MIME type; 6.4.3.10. Possibilidade de quarentenar, duplicar e quarentenar, remover o anexo, redirecionar as mensagens para outro host ou destinatrio, substituir a mensagem inteira ou apenas o anexo com modelo de notificao pr-definido; 6.4.3.11. Verificao do remetente atravs do DNS reverso do IP de origem e atravs do endereo do remetente; 6.4.3.12. Suporte LDAP, para verificao de destinatrios vlidos; 6.4.3.13. A soluo deve possuir um primeiro nvel de filtro de contedo global que deve ser aplicado s mensagens antes das checagens de spam, de vrus e do segundo nvel de anlise de contedo; 6.4.3.14. As regras de filtragem devem suportar expresses regulares; 6.4.3.15. O segundo nvel de filtro de contedo deve ser aplicvel por usurio ou por domnio, analisando as mensagens de entrada e sada; 6.4.3.16. Os filtros devem ser aplicados baseados no remetente, destinatrio, endereo IP, tamanho da mensagem, reputao, tipo de anexo, nome do anexo, tamanho do corpo da mensagem, listas pblicas de blacklist, dicionrios, assunto ou contedo no corpo da mensagem; 6.4.3.17. As regras de filtragem devem possibilitar mltiplas aes baseadas em mltiplas condies. As regras devem ser checadas em seqncia e possibilitar o uso de modelos para anlise de entrada e sada; 6.4.3.18. Detectar objetos EXE, DLL, JPEG, GIF, BMP no mnimo dentro de arquivos como Excel e Word; 6.4.3.19. Possibilitar anlise de contedo em arquivos do tipo PDF; 16

6.4.3.20. Permitir a configurao de relay confivel de forma que o IP de origem da mensagem possa ser identificado atravs do cabealho da mensagem (quando o appliance no a primeira camada de checagem de mensagens); 6.4.3.21. Possibilitar converter mensagens HTML em texto; 6.4.3.22. Funcionalidades de bloqueio de Spam 6.4.3.22.1. Deve possuir filtro de Reputao (IP/Domnio do remetente); 6.4.3.22.2. Deve possuir filtros Reativos de AntiSpam; 6.4.3.22.3. Tecnologia de deteco deve ser sensvel ao contexto; 6.4.3.22.4. Tecnologia deve englobar reputao de Email e Web; 6.4.3.22.5. Deve possuir tcnica de aprendizado adaptativo; 6.4.3.22.6. Filtro AntiSpam deve ser integrado no Appliance; 6.4.3.22.7. Permitir que um usurio ou grupo de usurios utilize diferentes filtros AntiSpam; 6.4.3.22.8. Informaes da rede de reputao tambm devem ser utilizadas para anlise das mensagens, pelo filtro de AntiSpam, utilizado no appliance.; 6.4.3.22.9. Devem ser automticas e atualizadas a cada 15 minutos; 6.4.3.22.10. Deve permitir mudar a poltica de mensagens em tempo-real para possveis spammers e hackers (por domnio e endereo IP) para bloquear/engargalar esses possveis maus remetentes; 6.4.3.22.11. Deve possuir quarentena no Appliance para administrao; 6.4.3.22.12. Deve permitir acesso individual, com autenticao de usurio e senha, para cada quarentena; 6.4.3.22.13. Quarentena para usurio final deve suportar autenticao por LDAP/AD/IMAP/POP; 6.4.3.22.14. Deve enviar mensagens de notificao para o usurio final quando h mensagens de spam ou suspeitas na quarentena. Deve permitir ao usurio visualizar as mensagens na quarentena e entregar ou apagar as mensagens. A notificao dever ser personalizvel e permitir o agendamento do envio para mais de uma vez ao dia, no mnimo; 6.4.3.22.15. Deve possibilitar armazenar as mensagens em quarentena no prprio Appliance ou em outro hardware especializado; 6.4.3.22.16. Deve possibilitar o uso de outro appliance de gerenciamento da quarentena do usurio final; 6.4.3.22.17. Deve possibilitar ao usurio final a criao de blacklists e safelists com os endereos que eles no querem e querem receber, respectivamente; 6.4.4. Funcionalidades do Antivrus 6.4.4.1. Deve ser integrada ao Appliance, permitindo que o administrador defina polticas diferenciadas por grupos de usurios; 6.4.4.2. Deve gerar relatrios e estatsticas especficos para esta funcionalidade; 6.4.4.3. Deve fornecer camada adicional de proteo dia-0 para surtos de novos vrus. No caso de surtos a soluo deve armazenar em quarentena as mensagens que caracterizem risco por um perodo de tempo configurvel ou at que as vacinas para os novos vrus sejam liberadas e aplicadas no antivrus, reduzindo o tempo de vulnerabilidade a surtos de novos vrus; 17

6.4.4.4.

Deve permitir a configurao de excees de acordo com a extenso do arquivo; 6.4.4.5. Os filtros de proteo devem permitir a configurao de acordo com os nveis de ameaas; 6.4.4.6. Todo o processo de proteo dia zero deve ser automtico por regras enviadas ao appliance sem a necessidade da interveno manual do usurio ou administrador; 6.4.4.7. Intervalo entre atualizaes configurvel em intervalos de tempo; 6.4.4.8. Checagem de arquivos: 6.4.4.8.1. Checagem de anexos; 6.4.4.8.2. Checagem de arquivos compactados; 6.4.5. Funcionalidades de Administrao 6.4.5.1. Deve possuir monitoramento grfico do fluxo de mensagens de entrada e sada da ltima hora, ltimo dia, ltima semana e ltimo ms; 6.4.5.2. Deve permitir log do processamento de cada mensagem; 6.4.5.3. Deve possuir relatrio de fluxo de mensagens (Exemplo: possibilitar listar as mensagens para um destinatrio especfico em determinado perodo de tempo, com detalhes de como esta mensagem foi recebida, processada e entregue/apagada); 6.4.5.4. Deve gerar estatsticas de mensagens e performance; 6.4.5.5. O sistema deve fornecer logs de Antivrus, Antispam, mensagens, debug, sistema, escaneamento, linha de comando, erros, interface de gerncia e status; 6.4.5.6. Possibilitar exportar dados para CSV e gerar arquivo PDF para armazenamento ou impresso; 6.4.5.7. Deve possuir relatrios com grficos em formato de pizza e barras, que apiem na comprovao do ROI; 6.4.5.8. Permitir o agendamento para envio automtico de cada tipo de relatrio (por dia, semana, ms), podendo distinguir para quem e qual relatrio ser enviado; 6.4.5.9. Permitir gerao de relatrios por quantidade de dias ou meses desejados; 6.4.5.10. Deve possuir controle de acesso por quarentena; 6.4.5.11. Deve suportar diversas quarentenas configuradas separadamente; 6.4.5.12. Possibilitar que o acesso seja liberado apenas a usurios autorizados (Exemplo: quarentena Confidencial s pode ser acessada pelo Administrador); 6.4.5.13. Deve suportar tanto os servidores DNS raiz ou servidores locais; 6.4.5.14. Possibilitar desabilitar a verificao de DNS reverso para conexes de entrada; 6.4.5.15. Deve suportar configuraes DNS que permita utilizar dois servidores de cache diferentes; 6.4.5.16. Deve suportar localizao de mensagens, permitindo localizar por endereo de remetente/destinatrio, domnio, assunto, perodo de tempo ou evento das mensagens no prprio appliance ou externamente para mltiplos Appliances; 6.4.5.17. Permitir gerar relatrios de todas as mensagens ou por grupos de domnios; 6.4.5.18. Permitir gerar relatrio de volume de uso por usurio (maiores remetentes ou destinatrios de vrus, spam, volume e tamanho de mensagens); 6.4.5.19. Permitir gerar relatrios de volume de uso por domnio (maiores domnios de entrada e sada de mensagens por volume, spam e vrus); 6.4.5.20. Permitir gerar relatrio de violao de polticas ou filtro de contedo; 6.4.5.21. Permitir gerar relatrio de eficincia da proteo dia-0; 18

6.4.5.22. 6.4.5.23. 6.4.5.24. 6.4.5.25. 6.4.5.26. 6.4.5.27. 6.4.5.28. 6.4.5.29. 6.4.5.30. 6.4.5.31. 6.4.5.32. 6.4.5.33. 6.4.5.34. 6.4.6. 6.4.6.1. 6.4.7. 6.4.7.1. 6.4.7.2. 6.4.7.3. 6.4.7.4. 6.4.7.5. 6.4.7.6. 6.4.7.7. 6.4.7.8.

Permitir gerar relatrio dos maiores remetentes ou destinatrios de vrus; Permitir gerar relatrio dos maiores remetentes ou destinatrios de spam; Permitir autenticao externa do tipo LDAP/RADIUS, para gerencia da soluo. Suportar monitoramento do sistema via SNMP v1/v2/v3, MIB-II, XML, Syslog; Suportar API para desenvolvimento de relatrios personalizados. Possuir alertas baseados em Emails, podendo especificar o tipo de alerta, a crticidade e para qual Email ser enviado; Enviar traps SNMP; Possuir interface Web (HTTP e HTTPS); Deve ser possvel administrar via Linha de comando (SSH e Telnet); Suportar gerenciamento centralizado para configurar e gerenciar mltiplos Appliances, sem necessidade de console dedicada para gerenciamento; Permitir criar polticas por usurio, por grupo ou por Appliance; Permitir habilitar um tnel seguro de suporte para diagnstico e interaes remotas; Possibilitar testar a configurao efetuada antes que a mesma entre em produo para toda a rede; Atualizaes Atualizaes automticas de Antispam; Controle de Entrega Monitoramento em tempo real do fluxo de entrega por domnio/IP; Separar filas de entrega por domnio de destino; Possibilitar adicionar diferentes rodaps ou disclaimers baseados em domnio, endereo de email e grupo de origem; Suportar o envio de mensagens atravs de TLS por domnio de destino; Suportar recebimento de mensagens atravs de TLS; A soluo deve gerar alertas de falhas de negociao TLS; Deve gerar relatrios das conexes usando TLS; Suportar autenticao SMTP para envio de mensagens;

7.

SLA (ACORDO DE NVEL DE SERVIO)

Os tempos mximos de atendimento especificados nas tabelas 2 a 6 devem ser seguidos, sob pena de multa: 7.1. SLA para Servio Gerenciado de Firewall

O SLA estabelece as premissas de atendimento de tempo de resposta mximo para cada macroatividade de um servio gerenciado de segurana sob Plataforma de Firewall (MSS Firewall), incluindo todas as atividades na tabela abaixo. Esto sinalizados os nveis de prioridade de cada atividade e a penalidade associada de cada uma delas, podendo ser negociadas durante a vigncia do contrato, de acordo com a aprovao mtua da CONTRATADA e do CONTRATANTE. Tempo de Resposta Mximo

Atividade

Meta

19

AtividadeGerenciamento de Configuraes: Alterao e incluso de regras e configuraes. OBS: aps abertura de chamado, exceto quando for necessria uma janela de manuteno. Atualizao, implementao de patches e fixes OBS: aps liberao do pacote pelo fabricante, condicionado homologao pela CONTRATADA, alm da liberao de janela pelo CLIENTE. Incio de atuao remota (VPN ou Telefone) para resoluo de problemas OBS: aps abertura de chamado ou deteco pelo SOC da CONTRATADA. Incio de atuao remota (VPN ou Telefone) para troubleshooting aps queda definitiva do Appliance. OBS: Indisponibilidade do Appliance. Soluo de Contorno aps indisponibilidade de 01 (um) Appliance. CONDIO: Constatao da indisponibilidade de 01 (um) Appliance manobra de ativao do appliance Stand-by. Troca do appliance aps constatado o problema de hardware pela CONTRATADA e aprovao do RMA pelo Fabricante. OBS: Defeito constatado do Appliance pelo SOC da CONTRATADA e aprovao do RMA pelo fabricante Implementao de novos servios e features de software remotamente OBS: aps abertura de chamado no SOC da CONTRATADA, exceto quando for necessria uma janela de manuteno. RELATRIO TCNICO: Relatrios da ferramenta com o resumo mensal do projeto. RELATRIO GERENCIAL: Relatrio com informaes gerenciais das correlaes e resultados obtidos no Quarter. RELATRIO EMERGENCIAL: Tratamento de problemas, incidentes e mudanas com a causa raiz ou de mudana emergencial, desde que seja solicitado pelo cliente. Reteno de logs on-line. OBS: Logs mantidos no prprio appliance. Reteno de logs off-line. OBS: Logs mantidos no SYSLOG SERVER mediante fornecimento de appliance, storage e insero na poltica de backup, todos por parte do cliente. Gerao e Configurao de pacote VPN Client customizado e padronizado. OBS: A instalao do Client VPN nos laptops e estaes da Rede Corporativa no uma atividade do MSS Firewall, somente a gerao do pacote-padro.Tabela 1 SLA do MSS Firewall.

Tempo de Resposta MximoAlta Mdia Baixa 3 Horas 4 Horas 6 Horas

Meta95% 90% 90% 95%

96 h Chamado de Prioridade Relativa 60 min Chamado de Alta prioridade 45 min Chamado de Alta Prioridade 8 Horas Chamado de Alta Prioridade 10 dias teis Chamado de Alta Prioridade 96 h Chamado de Baixa Prioridade Mensal Mensal

95%

95%

95%

90%

90%

90% 90%

16 h

90%

03 meses Premissa 36 meses Premissa

90%

90%

NBD Atividade de Baixa Prioridade

90%

7.2.

SLA para Servio Gerenciado de IPS

O SLA estabelece as premissas de atendimento de tempo de resposta mximo para cada macro atividade de um servio gerenciado de segurana sob Plataforma de IPS Intrusion Prevention System (MSS IPS), incluindo todas as atividades na tabela abaixo. 20

Esto sinalizados os nveis de prioridade de cada atividade e a penalidade associada de cada uma delas, podendo ser negociadas durante a vigncia do contrato, de acordo com a aprovao mtua da CONTRATADA e do CONTRATANTE. Tempo de Resposta MximoAlta Mdia Baixa 3 Horas 4 Horas 6 Horas

AtividadeGerenciamento de Configuraes: Alterao e incluso de regras e configuraes. OBS: aps abertura de chamado, exceto quando for necessria uma janela de manuteno. Atualizao, implementao de patches e fixes OBS: aps liberao do pacote pelo fabricante, condicionado homologao pela CONTRATADA, alm da liberao de janela pelo CLIENTE. Incio de atuao remota (VPN ou Telefone) para resoluo de problemas OBS: aps abertura de chamado ou deteco pelo SOC da CONTRATADA. Incio de atuao remota (VPN ou Telefone) para troubleshooting aps queda definitiva do Appliance. OBS: Indisponibilidade do IPS. Soluo de Contorno aps indisponibilidade do Appliance. CONDIO: Constatao da indisponibilidade do IPS. Troca do appliance aps constatado o problema de hardware pela CONTRATADA e aprovao do RMA pelo Fabricante. OBS: Defeito constatado do appliance de IPS pelo SOC da CONTRATADA e aprovao do RMA pelo fabricante Implementao de novos servios e features de software remotamente OBS: aps abertura de chamado no SOC da CONTRATADA, exceto quando for necessria uma janela de manuteno. RELATRIO TCNICO: Relatrios da ferramenta com o resumo mensal do projeto. RELATRIO GERENCIAL: Relatrio com informaes gerenciais das correlaes e resultados obtidos no Quarter. RELATRIO EMERGENCIAL: Tratamento de problemas, incidentes e mudanas com a causa raiz ou de mudana emergencial, desde que seja solicitado pelo cliente. Reteno de logs on-line. OBS: Logs mantidos no MANAGER do SOC da CONTRATADA. Reteno de logs off-line. OBS: Logs mantidos no MANAGER do SOC da CONTRATADA.Tabela 2 SLA do MSS IPS.

Meta95% 90% 90% 95%

96 h Chamado de Prioridade Relativa 60 min Chamado de Alta prioridade 45 min Chamado de Alta Prioridade 8 Horas Chamado de Alta Prioridade 10 dias teis Chamado de Alta Prioridade 96 h Chamado de Baixa Prioridade Mensal

90%

90%

95%

95%

90%

90%

Mensal

90%

16 h

90%

03 meses Premissa 36 meses Premissa

90% 90%

7.3.

SLA para Servio Gerenciado de GAV Gesto de Anlise de Vulnerabilidade

O SLA estabelece as premissas de atendimento de tempo de resposta mximo para cada macro atividade de um servio gerenciado de segurana sob Plataforma de GAV (MSS GAV), incluindo todas as atividades na tabela abaixo. 21

Esto sinalizados os nveis de prioridade de cada atividade e a penalidade associada de cada uma delas, podendo ser negociadas durante a vigncia do contrato, de acordo com a aprovao mtua da CONTRATADA e do CONTRATANTE.Tempo de Resposta MximoAlta Mdia Baixa 3 Horas 4 Horas 6 Horas

AtividadeGerenciamento de Configuraes: Alterao e incluso de scans e configuraes. OBS: aps abertura de chamado, exceto quando for necessria uma janela de manuteno. Atualizao da base de dados de vulnerabilidades OBS: aps liberao do pacote pelo fabricante, condicionado homologao pela CONTRATADA, alm da liberao de janela pelo BANPAR. Incio de atuao remota (VPN ou Telefone) para resoluo de problemas OBS: aps abertura de chamado ou deteco pelo SOC da CONTRATADA. Incio de atuao remota (VPN ou Telefone) para troubleshooting aps queda definitiva do Appliance. OBS: Indisponibilidade do Appliance. Soluo de Contorno aps indisponibilidade de 01 (um) Servidor de GAV. CONDIO: Constatao da indisponibilidade de 01 (um) Servidor de GAV eacionamento do Service Desk do CLIENTE para atuao local ou remota no Servidor (SO ou Hardware).

Meta95% 90% 90%

96 h Chamado de Prioridade Relativa 60 min Chamado de Alta prioridade 45 min Chamado de Alta Prioridade 8 horas Chamado de Alta Prioridade 96 h Chamado de Baixa Prioridade Mensal1

90%

90%

90%

90%

Implementao de novos servios e features de software remotamente OBS: aps abertura de chamado no SOC da CONTRATADA, exceto quando for necessria uma janela de manuteno. RELATRIO TCNICO: Relatrios da ferramenta com o resumo mensal do projeto. RELATRIO GERENCIAL: Relatrio com informaes gerenciais das correlaes e resultados obtidos no Quarter. RELATRIO EMERGENCIAL: Tratamento de problemas, incidentes e mudanas com a causa raiz ou de mudana emergencial, desde que seja solicitado pelo cliente. Reteno de logs on-line. OBS: Logs mantidos no appliance. Reteno de logs off-line. OBS: Logs mantidos no servidor de Logs mediante fornecimento de appliance, storage e insero na poltica de backup, todos por parte do cliente.Tabela 3 SLA do MSS GAV.

90%

90%

Mensal

90%

16 h 03 meses Premissa 36 meses Premissa

90%

90%

90%

7.4.

SLA para Servio Gerenciado de Mail

O SLA estabelece as premissas de atendimento de tempo de resposta mximo para cada macro atividade de um servio gerenciado de segurana sob Plataforma de Mail Security (MSS Mail), incluindo todas as atividades na tabela abaixo. Esto sinalizados os nveis de prioridade de cada atividade e a penalidade associada de cada uma delas, podendo ser negociadas durante a vigncia do contrato, de acordo com a aprovao mtua da CONTRATADA e do CONTRATANTE.

22

AtividadeGerenciamento de Configuraes: Alterao e incluso de regras e configuraes. OBS: aps abertura de chamado, exceto quando for necessria uma janela de manuteno. Atualizao, implementao de patches e fixes OBS: aps liberao do pacote pelo fabricante, condicionado homologao pela CONTRATADA, alm da liberao de janela pelo BANPAR. Incio de atuao remota (VPN ou Telefone) para resoluo de problemas OBS: aps abertura de chamado ou deteco pelo SOC da CONTRATADA. Incio de atuao remota (VPN ou Telefone) para troubleshooting aps queda definitiva do Appliance. OBS: Indisponibilidade do Appliance. Deteco e bloqueio de SPAM ou Malware, condicionado existncia de assinatura liberada pelo fabricante, regras personalizadas, anlise comportamental de trfego SMTP e disponibilidade de appliance. Soluo de Contorno aps indisponibilidade de 01 (um) Appliance. CONDIO: Constatao da indisponibilidade de 01 (um) Appliance e manobra de troca para o appliance Stand-by de forma automatizada. Troca do appliance aps constatado o problema de hardware pela CONTRATADA e aprovao do RMA pelo Fabricante. OBS: Defeito constatado do Appliance pelo SOC da CONTRATADA e aprovao do RMA pelo fabricante Implementao de novos servios e features de software remotamente OBS: aps abertura de chamado no SOC da CONTRATADA, exceto quando for necessria uma janela de manuteno. RELATRIO TCNICO: Relatrios da ferramenta com o resumo mensal do projeto. RELATRIO GERENCIAL: Relatrio com informaes gerenciais das correlaes e resultados obtidos no Quarter. RELATRIO EMERGENCIAL: Tratamento de problemas, incidentes e mudanas com a causa raiz ou de mudana emergencial, desde que seja solicitado pelo cliente. Reteno de logs on-line. OBS: Logs mantidos no appliance. Reteno de logs off-line. OBS: Logs mantidos no servidor de Logs mediante fornecimento de appliance, storage e insero na poltica de backup, todos por parte do cliente.Tabela 4 SLA do MSS Mail.

Tempo de Resposta MximoAlta Mdia Baixa 3 Horas 4 Horas 6 Horas

Meta95% 90% 90%

96 h Chamado de Prioridade Relativa 60 min Chamado de Alta prioridade 45 min Chamado de Alta Prioridade 8 horas1 Chamado de Alta Prioridade 8 horas1 Chamado de Alta Prioridade 10 dias teis Chamado de Alta Prioridade 96 h Chamado de Baixa Prioridade Mensal

95%

90%

90%

95%

90%

95%

95%

90%

Mensal

90%

16 h 03 meses Premissa 36 meses Premissa

90%

90%

90%

7.5.

SLA para Servio Gerenciado de Endpoint Security

O SLA estabelece as premissas de atendimento de tempo de resposta mximo para cada macroatividade de um servio gerenciado de segurana sob Plataforma de Endpoint Security (MSS Endpoint), incluindo todas as atividades na tabela abaixo.

23

Esto sinalizados os nveis de prioridade de cada atividade e a penalidade associada de cada uma delas, podendo ser negociadas durante a vigncia do contrato, de acordo com a aprovao mtua da CONTRATADA e do CONTRATANTE.Tempo de Resposta MximoAlta Mdia Baixa 3 Horas 4 Horas 6 Horas

AtividadeGerenciamento de Configuraes: Alterao e incluso de regras e configuraes. OBS: aps abertura de chamado, exceto quando for necessria uma janela de manuteno. Atualizao, implementao de vacina de vrus OBS: aps liberao do pacote pelo fabricante, condicionado homologao pela CONTRATADA, alm da liberao de janela pelo BANPAR. Incio de atuao remota (VPN ou Telefone) para resoluo de problemas OBS: aps abertura de chamado ou deteco pelo SOC da CONTRATADA. Incio de atuao remota (VPN ou Telefone) para troubleshooting aps queda definitiva do Appliance. OBS: Indisponibilidade do Appliance. Soluo de Contorno aps indisponibilidade de 01 (um) Servidor de Gerenciamento. CONDIO: Constatao da indisponibilidade de 01 (um) ePO Server e acionamentodo Service Desk do CLIENTE para atuao local ou remota no Servidor (SO ou Hardware).

Meta95% 90% 90%

96 h Chamado de Prioridade Relativa 60 min Chamado de Alta prioridade 45 min Chamado de Alta Prioridade 8 horas1 Chamado de Alta Prioridade 96 h Chamado de Baixa Prioridade Mensal

95%

90%

90%

90%

Implementao de novos servios e features de software remotamente OBS: aps abertura de chamado no SOC da CONTRATADA, exceto quando for necessria uma janela de manuteno. RELATRIO TCNICO: Relatrios da ferramenta com o resumo mensal do projeto. RELATRIO GERENCIAL: Relatrio com informaes gerenciais das correlaes e resultados obtidos no Quarter. RELATRIO EMERGENCIAL: Tratamento de problemas, incidentes e mudanas com a causa raiz ou de mudana emergencial, desde que seja solicitado pelo cliente. Reteno de logs on-line. OBS: Logs mantidos no appliance. Reteno de logs off-line. OBS: Logs mantidos no servidor de Logs mediante fornecimento de appliance, storage e insero na poltica de backup, todos por parte do cliente.Tabela 5 SLA do MSS Endpoint.

95%

90%

Mensal

90%

16 h 03 meses Premissa 36 meses Premissa

90%

90%

90%

8.

VISITA TCNICA 8.1. Para que empresa licitante compreenda a complexidade do ambiente tecnolgico do BANPAR, obrigatria a realizao de visita tcnica at 4 (quatro) dias teis antes da data de abertura das propostas, que ter seu respectivo atestado emitido aps sua realizao; 8.2. A Visita tcnica dever ser realizada por um representante legal da empresa LICITANTE ou por seu procurador, devidamente autorizado atravs de procurao; 8.3. Para comprovar que possui 0800 e sistema de abertura e acompanhamento de chamados, ambos em portugus, durante a visita tcnica a empresa licitante deve: 24

8.3.1. 0800: disponibilizar o nmero para teste; 8.3.2. Sistema de Tickets via Web: disponibilizar conta para teste on-line na visita de vistoria. 9. COMPROVAES APRESENTAR COM A PROPOSTA DE PREOS 9.1. Todos os documentos solicitados devem ser apresentados em original ou sua cpia autenticada em cartrio; 9.2. Para fins de habilitao sero exigidas as seguintes comprovaes tcnicas: 9.2.1. Declarao de atendimento da LICITANTE aos requisitos especificados no item 5.1 (Infraestrutura dos centros de operaes de segurana (SOC) deste documento, disponibilizando o ambiente para auditoria por parte do BANPAR; 9.2.2. Cpia autenticada dos certificados para fins de comprovao do item 5.2.5 deste termo de referncia; 9.2.3. Original ou cpia autenticada das declaraes conferidas por empresas pblicas ou privadas, para fins de comprovao do item 5.3.1 deste termo de referncia; 9.2.4. Declarao dos fabricantes das solues, para fins de comprovao do item 5.3.2 deste termo de referncia; 9.2.5. Atestado de Visita Tcnica, para fins de comprovao do item 9 (VISITA TCNICA) deste termo de referncia. REQUISITOS OBRIGATRIOS GERAIS 10.1. A documentao exigida neste item dever ser como anexo PROPOSTA DE PREOS; 10.2. Todas as caractersticas tcnicas exigidas na especificao das solues tcnicas devero ser comprovadas, independente da descrio da proposta, atravs de documentos cujas origens sejam exclusivamente o fabricante dos equipamentos, como catlogos, manuais, ficha de especificao tcnica os pginas obtidas no site oficial dos fabricantes, sob a forma de volumes impressos ou em meio eletrnico (CD, DVD, etc.); 10.3. As informaes obtidas em sites oficiais do Fabricante atravs da Internet devero ser impressas e anexadas proposta e dever ser indicado respectiva URL (uniform Resource Locator) onde se encontram; 10.4. Sero aceitos documentos em portugus ou ingls para comprovaes tcnicas; 10.5. Caso fornecida em meio eletrnico, a documentao tcnica dever estar em formato amplamente utilizado (Microsoft WORD, PDF, HTML, CHM) ou ser acompanhada de recurso adequado para visualizao na tela e impresso em papel no tamanho A4. A documentao tcnica dever apresentar-se perfeitamente legvel, sendo os detalhes das figuras facilmente reconhecveis; 10.6. A equipe tcnica do BANPAR poder realizar pesquisas adicionais para corroborar o atendimento, ou no, das caractersticas tcnicas exigidas na especificao das solues tcnicas, caso a documentao apresentada seja insuficiente ou deixe dvidas; 10.7. A no comprovao de alguma caracterstica exigida levar a desclassificao da proponente. 11. LOCAL DE IMPLANTAO DOS SERVIOS

10.

25

11.1. A instalao dos equipamentos e sistemas que permitiro a prestao dos servios de que trata este Termo de Referncia dever ser executada pela CONTRATADA na sede do BANPAR, na Rua Municipalidade, N 1036 UMARIZAL CEP: 66050-350, sem custos adicionais para o BANPAR; 12. CONDIES DE ENTREGA E IMPLANTAO DOS SERVIOS 12.1. O prazo para entrega dos equipamentos que compem o servio pela CONTRATADA ser de 45 (quarenta e cinco) dias consecutivos, contados a partir da data da assinatura do contrato; 12.2. Os equipamentos e sistemas que compem o servio devero ser entregues e instalados no BANPAR. As fases da implantao do servio devem contemplar: 12.2.1. Planejamento: nesta etapa a CONTRATADA dever realizar o planejamento do projeto, onde sero definidos os prazos por atividade, as pessoas, a estratgia de implantao do servio, o plano testes, a localizao dos appliances na arquitetura da rede do BANPAR, bem como quaisquer outros itens que sejam necessrios para a implantao do projeto. Deve-se considerar as janelas de manuteno do BANPAR, plano de rollback e o escopo definido. Os responsveis tcnicos do BANPAR acompanham e aprovam o planejamento. 12.2.1.1. Os prazos para a implantao de cada um dos servios, pela CONTRATADA, est especificado na tabela 10. O prazo passa a ser contado a partir da data acordada entre o BANPAR e a CONTRATADA para implantao do servio, com aceite oficial do BANPAR, aps a data de recebimento dos equipamentos no BANPAR:Tempo Mximo de Implantao (Dias Corridos) 30 30 30 30

Servio Firewall/VPN IPS Gesto de Vulnerabilidades Filtro de E-mail

Antivrus Corporativo 15 Tabela 7: Prazo para implantao dos servios por categoria.

12.2.2. Implementaes: aps a aprovao do planejamento dever ser iniciado o processo de implantao, levando-se em considerao a disponibilidade das equipes envolvidas, cumprimento dos prazos pactuados e o foco principal do projeto: tornar o ambiente mais seguro e controlado, quanto confidencialidade, integridade e disponibilidade do ambiente. 12.2.3. Etapa de testes: todos os controles implantados para a ativao dos servios gerenciados de segurana devero ser testados a cada etapa pr-definida no planejamento. Alm disso, o plano de rollback dever garantir o retorno exeqvel e gil, caso ocorra alguma falha no processo de implantao dos controles necessrios prestao do servio. 12.2.4. Homologao: Aps a concluso dos testes, a soluo dever ser formalmente homologada pelo BANPAR, com a finalidade de iniciar a monitorao, operao dos servios e gerenciamento do ambiente, dentro do SLA acordado. 26

12.2.4.1. O BANPAR ter o prazo de 15 (quinze) dias consecutivos, contados a partir da data de concluso dos servios de instalao e configurao do(s) servios contratados, para emitir o relatrio de homologao (aceite); 12.2.4.2. O(s) servio(s) sero aceito(s) se e somente se houver comprovao de que todos os requisitos tcnicos especificados neste Termo de Referncia tenham sido atendidos. Essa comprovao ser feita mediante observao direta das caractersticas dos equipamentos, consulta documentao tcnica fornecida e verificao dos servios de instalao e configuraes, comparadas aos termos deste edital; 12.2.5. Documentao: A CONTRATADA dever elaborar e manter atualizada documentao das atividades e de todos os processos. 12.2.5.1. Devem ser documentados: entrega e conferncia, testes, homologao, compromissos e prazos, incluindo planos de trabalho, planos de contingncia, cronogramas, atas de reunies, de modo a compor documentao (as built) a ser entregue o BANPAR ao final da implantao. AO BANPAR poder propor atualizaes nesse documento, no sentido de melhor atender ao bom andamento dos trabalhos ou prpria convenincia do BANPAR. 12.2.5.2. Com a finalizao da etapa de testes e homologao dever ser realizada uma apresentao in-loco, com a finalidade de registrar as intervenes realizadas no ambiente ativo atual, apresentar a metodologia do servio gerenciado ao BANPAR, formalizar o Plano de Comunicao, formatar a Matriz de Responsabilidades (com os nomes e pessoas-chave responsveis) e ratificar o SLA da soluo contratada. 13. VALOR DO SERVIO 13.1. A tarifao do servio compreender os seguintes valores, a serem expressos em R$ (reais): 13.1.1. Taxa de Instalao para cada um dos servios, cobrada uma nica vez, incluindo o planejamento, implementao e teste de todas as funcionalidades contratadas. Este valor no poder ultrapassar 20% do valor total do contrato; 13.1.2. Assinatura Mensal, incluindo o direito de uso dos servios, em comodato dos equipamentos, em regime 24x7x365 (vinte e quatro horas por dia, sete dias por semana, 365 dias por ano), todos os dias do ano, considerando um contrato de 36 meses; 13.1.3. Disponibilizao de um banco de horas, a ser utilizado sob demanda; 13.2. O Total Geral do contrato, para 36 meses, ser o valor a ser utilizado como base para os lances do prego. Este valor ser composto pela soma das taxas de instalao de todos os servios, pela soma das mensalidades de todos os servios considerando 36 meses e do valor total do banco de horas. 13.2.1. Os preos ofertados em lance licitatrio obrigaro a licitante a manter, a mesma relao proporcional inicial, entre todos os itens de cobrana que compem a planilha de preos. 14. PENALIDADES 14.1. Em caso da no implementao dos servios no prazo previsto, sem justificativas aceitas pelo BANPAR: 27

14.1.1. Multa de 0,1% (zero vrgula um por cento), por dia de atraso na concluso da implantao da soluo, dedutvel do valor da primeira fatura; 14.1.2. Aps o 30 (trigsimo) dia de atraso, e a critrio do BANPAR, poder ocorrer a no aceitao do objeto, de forma a configurar, nessa hiptese, inexecuo total da obrigao assumida, sem prejuzo da resciso unilateral da avena; 14.1.3. Decorridos mais de 60 (sessenta) dias de atraso, sero aplicadas as penalidades previstas em contrato, mais as multas e o cancelamento do contrato. A CONTRATADA ser impedida de licitar pelo perodo mnimo de 02 (dois) anos. 14.2. Pelo no cumprimento do ndice de disponibilidade do servio: 15. OBRIGAES E RESPONSABILIDADES DA CONTRATADA 15.1. Assegurar-se que o local de instalao dos equipamentos necessrios prestao dos servios possui as condies tcnicas e ambientas necessrias ao funcionamento dos equipamentos necessrios aos servios; 15.2. Manter Centros de Operao de Segurana (SOC) prprios para monitoramento remoto 24x7x365, com infraestrutura estritamente de acordo com as especificaes deste documento; 15.3. Implantar todos softwares e hardwares necessrios prestao dos servios de monitorao, gerncia e administrao remota da segurana, conforme as especificaes tcnicas constantes deste Termo de Referncia; 15.4. A CONTRATADA ser responsvel pela manuteno preventiva e corretiva dos hardwares e softwares por ela ofertados; 15.5. Todas as solues de hardware e Software, ambientes de gerenciamento e monitoramento devem ser fornecidos em regime de comodato; 15.6. Iniciar a prestao dos servios dentro dos prazos estabelecidos neste Termo de Referncia; 15.7. Implementar/gerenciar backup de configurao de sistemas gerenciados; 15.8. Realizar qualquer alterao na configurao da soluo (aplicao de novas regras, excluso de regras, atualizao de verses, aplicaes de patches, etc.) mediante autorizao formal do BANPAR; 15.9. Comunicar, imediatamente, a eminncia ou ocorrncia de incidentes de segurana: os acessos indevidos, instalao de cdigos maliciosos, indisponibilizao dos servios (DoS), ataques por fora bruta, ou qualquer outra ao que vise prejudicar a funcionalidade dos servios do BANPAR; 15.10. As implantaes das solues sero realizadas pela CONTRATADA e todas as atividades envolvidas sero acompanhadas e coordenadas por analistas e tcnicos do BANPAR; 15.11. Resolver os chamados de servio e suporte tcnico conforme os tempos definidos nas tabelas de tempos de atendimento (SLA) deste Termo de Referncia; 15.12. Substituir equipamentos com defeito, que cause a indisponibilidade de servio 15.13. dependente do mesmo, conforme o tempo estipulado na tabela de tempos de atendimento (SLA); 15.14. Manter os servios contratados nos nveis de disponibilidade estabelecidos em item especfico deste Termo de Referncia; 15.15. A implantao das solues, quando realizadas no ambiente de produo, podero ter as atividades realizadas aps o expediente (horrios noturnos ou em finais de semana e feriados); 28

15.16. A CONTRATADA ser responsvel por efetuar as atividades de integrao da soluo de monitorao remota com o ambiente operacional do BANPAR, sem prejuzo aos servios desta; 15.17. Registrar os tempos de atendimento dos chamados de suporte tcnico ou chamados de servios, mensais e anuais, indicando os chamados que foram atendidos dentro e fora do SLA estabelecido neste termo de referncia; 15.18. Produzir e enviar por e-mail, mensalmente, relatrios analticos a equipe gestora do BANPAR, ou em 24h quando for demandado; 15.19. Participar, mensalmente, de reunies presenciais, de ponto de controle, para apresentao dos indicadores de disponibilidade, diagnsticos dos ambientes monitorados, dirimir dvidas sobre o servio contratado, anlise e entendimento dos relatrios gerenciais e administrativos, reviso das configuraes e procedimentos implementados e melhorias a serem implementadas; 15.20. Garantir e manter total e absoluto sigilo sobre as informaes manuseadas, as quais devem ser utilizadas apenas para a conduo das atividades autorizadas, no podendo ter quaisquer outros usos, sob pena de resciso contratual e medidas cveis e penais cabveis, assumindo inteira responsabilidade pelo uso indevido ou ilegal de informaes privilegiadas do BANPAR, praticado por seus empregados, conforme Acordo de Responsabilidade para Fornecedores, a ser assinado pela CONTRATADA no ato da assinatura do contrato.

16. OBRIGAES E RESPONSABILIDADES DA CONTRATANTE 16.1. Providenciar as condies tcnicas e ambientais necessrias implantao e funcionamento dos servios; 16.2. Providenciar as autorizaes de acesso aos tcnicos da CONTRATADA, desde que devidamente agendado e os tcnicos identificados, aos locais de instalao das solues para as implantaes e nos casos de manutenes; 16.3. Informar aos tcnicos da CONTRATADA as necessidades de configurao dos equipamentos e servios. Estas informaes sero repassadas para a CONTRATADA atravs da abertura de chamados de suporte tcnico. Quando necessrio, podem ser anexados aos chamados arquivos com as necessidades de configuraes; 16.4. Cumprir pontualmente todos os seus compromissos financeiros para com a CONTRATADA; 16.5. Proporcionar todas as facilidades para que a CONTRATADA possa executar os servios de que trata este Termo de Referncia, dentro das normas e condies estabelecidas em contrato; 16.6. Comunicar CONTRATADA todas as possveis irregularidades detectadas na execuo dos servios contratados, para a pronta correo das irregularidades apontadas; 16.7. Fiscalizar diretamente a execuo dos servios de que trata o objeto deste Termo de Referncia, atestando a sua prestao se, e somente se, os servios executados atenderem plenamente s especificaes constantes deste Termo de Referncia; 16.7.1. Rejeitar, no todo ou em parte, a soluo entregue pela CONTRATADA fora das especificaes deste Termo de Referncia; 29

16.7.2. A fiscalizao de que trata este item no exclui nem reduz a responsabilidade da CONTRATADA pelos danos causados ao BANPAR ou a terceiros, resultantes de ao ou omisso culposa ou dolosa de quaisquer de seus empregados ou prepostos.

30