prodesp · prodesp pro.00.6685 tecnologia da informação 3.9. obedecer na execução e...

matr. 92 Anãs% S

• PRODESP

Tecnologia da Informação

CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE APOIO TÉCNICO ESPECIALIZADO EM AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO, QUE FAZEM A COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO — PRODESP E GALEGALE & ASSOCIADOS, CONSULTORES LTDA. EPP.

Certifico que o conteúdo das Cláusulas I (item 1.1.) a X (item 10.1.) das 02 (duas) vias deste contrato, com folhas numeradas de 01 a 13 e seus anexos é idêntico ao do original chancelado pela Assessoria Jurídica — PAJ, anexo ao Processo n.° 91.017.

HELENI M. IWA zt

Pelo presente contrato, de um lado, a COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP, com sede no município de Taboão da Serra - estado de São Paulo, na Rua Agueda Gonçalves, n° 240, inscrita no C.N.P.J./MF sob n.° 62.577.929/0001-35, doravante designada simplesmente PRODESP e, de outro, a empresa GALEGALE & ASSOCIADOS, CONSULTORES LTDA. EPP, com sede no município de Poá, na Av. Vital Brasil, n° 1054, sala 1, Vila Açoreana, SP, CEP 08557-000, inscrita no C.N.P.J./MF sob n.° 61.568.697/0001-96, doravante designada simplesmente CONTRATADA, por seus representantes legais ao final designados e assinados, têm entre si justo e acertado a prestação de serviços de apoio técnico especializado em auditoria de sistemas e segurança da informação, mediante as seguintes cláusulas e condições:

1— OBJETO

1.1. Constitui objeto do presente contrato, a prestação de serviços de apoio técnico especializado de auditoria de sistemas e segurança da informação para avaliar a segurança dos sistemas desenvolvidos pela PRODESP, em ambiente de Produção e em Homologação, conforme ANEXO I — ESPECIFICAÇÕES TÉCNICAS.

1.2. A presente contratação, decorrente de licitação na modalidade Pregão Eletrônico n° 107/2014, foi homologada, assim como autorizada a previsão de despesa orçamentária no Documento de Comprovação Orçamentária — DCO, nos termos do Decreto Estadual n° 33.144 de 20/03/91, conforme documentos anexados no Processo PRODESP n.° 91.017.

II- EXECUÇÃO DOS SERVIÇOS E PRAZOS

2.1. Os serviços de auditoria serão realizados a parti acordo com a Ordem de Serviço a ser emitid e. Co auditar, conforme ANEXO II, modelo de Ordem d

natura deste contrato, de ROD SP do sistema a -O

1/13 Rua Agueda Gonçalves, 240- Taboão da Serra - SP -.CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.orodesp.so.gov.br - prodespaorodesto.sp.00v.br

PRO.00.6685


• PRODESP 2.1.1. A execução dos trabalhos, tais como, reuniões, levantamentos, entrevistas

e aplicação de testes, deverá ser efetuada nas dependências da PRODESP/Sede, localizada na Rua Agueda Gonçalves, n° 240 - Taboão da Serra — SP;

2.1.2. O prazo para execução dos serviços previstos neste contrato é de 20 (vinte) meses contados da data de assinatura deste contrato.

2.2. CRONOGRAMA DE ATIVIDADES DA AUDITORIA

2.2.1. Cada trabalho de auditoria definido na Ordem de Serviço deverá, preferencialmente, ser desenvolvido nas seguintes etapas:

Etapa 1) Planejamento detalhado da auditoria do sistema a ser auditado conforme Ordem de Serviço.

Entregável: Cronograma detalhado das etapas do trabalho da auditoria, levando-se em consideração a complexidade do sistema a ser auditado.

Esse entregável representa 15% (quinze por cento) dos trabalhos de auditoria.

Etapa 2) Caracterização do Sistema a Auditar através de uma Ordem de Serviço

Levantamento de dados sobre as atividades das unidades usuárias dos sistemas envolvidos, dos procedimentos, características técnicas e dos recursos computacionais e tecnológicos utilizados na homologação e na operação destes sistemas, conforme abertura da Ordem de Serviço.

Entregável: Relatório de entendimento e caracterização dos sistemas a auditar através dos levantamentos efetuados e atas de reuniões.

Esse entregável representa 20% (vinte por cento) dos trabalhos de auditoria.

Etapa 3) Inventário de pontos de controle

Identificação da descrição dos ponto de controle passíveis a vulnerabilidades a serem avaliados. Au nas linhas de código do sistema que está sendo auditado, se definiç-io da Ordem de Serviço.

2/13 Rua Agueda Gonçalves, 240- Taboão da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.prodeso.so.00v.br - prodespaprodeso.su.00v.br

• PRODESP

Entregável: Relatório final da auditoria devid ente assinado pela CONTRATADA.

Esse entregável representa 5% (cinco auditoria.

3/13 Rua Agueda Gonçalves, 240 - Taboão da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.prodesp.sp.00v.br - prodesoenrodeso.so.00v.br

nto) dos trabalhos de

PRO.00.6685


Entregável: Relatório de inventário dos pontos de controle e atas de reuniões, inclusive os erros encontrados nas linhas de código do sistema sendo auditado.


Etapa 4) Avaliação dos pontos de controle

Realização de testes e exames detalhados nos pontos de controle identificados.

Entregável: Relatórios dos testes e exames aplicados (usando metodologia própria ou de mercado), visando demonstrar o COMPLIANCE da aplicação (criação e definição das aderências).


Etapa 5) Elaboração do relatório de auditoria de sistemas

Análise e julgamento dos resultados obtidos nos exames de auditoria, apresentação das propostas para melhorias. Redação, montagem e edição do relatório de auditoria.

Entregável: Relatório final (minuta) de conclusão e recomendação onde deverão estar definidos os pontos de fraqueza de controle do sistema.

Esse entregável representa 25% (vinte e cinco por cento) dos trabalhos de auditoria.

Etapa 6) Conclusão dos trabalhos

Revisões, ajustes, entrega e aprovação do relatório final de auditoria, o qual deverá ser previamente acordado pela PRODESP.

• PRODESP


III - OBRIGAÇÕES DA CONTRATADA

3.1. Executar todos os serviços relativos ao objeto deste contrato, dentro dos melhores padrões, de acordo com a proposta apresentada;

3.2. Fornecer toda a mão de obra necessária à execução do objeto deste contrato;

3.3. Alocar profissionais altamente qualificados e especializados para a prestação dos serviços ora contratados, atentando para o prazo e competências dos profissionais exigidas, conforme Anexo I - Especificações Técnicas, item 10;

3.4. Cumprir todas as cláusulas e condições do presente contrato. O não cumprimento das condições estabelecidas neste instrumento ensejará a aplicação das penalidades definidas na cláusula VIII - RESCISÃO E PENALIDADES.

3.5. Arcar com todos os impostos e tributos decorrentes do presente contrato;

3.6. Manter, durante a execução do contrato, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e qualificação exigidas na licitação;

3.7. Responsabilizar-se, sem qualquer espécie de solidariedade por parte da PRODESP, pelas obrigações de natureza fiscal, previdenciária, trabalhista, acidentária e civil, em relação ao pessoal que a mesma alocar para a prestação dos serviços objeto do presente contrato.

3.8. Em caso de propositura de ação trabalhista, decorrente e relacionada com a prestação de serviços objeto deste contrato por empregado da CONTRATADA, na qual a PRODESP seja citada na condição de reclamada ou litisconsorte, em decorrência da subsidiariedade prevista no Enunciado 331 do Tribunal Superior do Trabalho, a PRODESP poderá exigir da CONTRATADA que caucione o valor da condenação em primeira instância correspondente, observado o disposto no artigo 56 da Lei. 8.666/93 e alterações posteriores, de forma autônoma e específica, como garantia de seu pagamento, até liquidação e/ou encerramento da ação trabalhista respectiva.

3.8.1. Desde que expressamente autorizado pela CONTRATADA, a PRODESP poderá promover a liquidação e pagamento de condenação que lhe venha a ser imposta na situação prevista na cláusu compensação do valor correspondente na fatura/ apresentada pela CONTRATADA para pagame presente contrato, até a liquidação e satisfaç respectivo.


INTERNET: www.prodesp.sp.qov.br - prodespaprodesp.sp.qov.br

anterior, mediante a a fiscal que venha a ser

serviços objeto do integral do crédito

PRO.00.6685

• PRODESP

PRO.00.6685


3.9. Obedecer na execução e desenvolvimento do seu trabalho, as determinações da Lei n° 6.514, de 22 de dezembro de 1977, regulamentada pela Portaria n.° 3.214, de 08 de junho de 1978, do Ministério do Trabalho e suas alterações, além de outra legislação técnica vigente e as normas de procedimentos internos da PRODESP, de engenharia de segurança, medicina e meio ambiente do trabalho, que sejam aplicáveis à execução específica da atividade.

3.10. Apresentar, quando solicitado pela PRODESP, cópia dos Programas de Controle Médico de Saúde Ocupacional — PCMSO e de Prevenção dos Riscos Ambientais — PPRA, de acordo com as Normas Regulamentadoras n.° 07 e 09, respectivamente, da Portaria n.° 3.214, de 08 de junho de 1978, do Ministério do Trabalho e da Previdência Social, conforme determina a Lei Federal n.° 6.514, de 22 de dezembro de 1977 e instalando e mantendo os Serviços Especializados em Engenharia de Segurança e em Medicina do Trabalho (SEESMT) e Comissão Interna de Prevenção de Acidentes — CIPA, considerando o número total de trabalhadores nos serviços, para o fiel cumprimento da legislação em vigor.

3.11. Obriga-se, por seus administradores, sócios e gerentes, por seus funcionários ou terceiros contratados e/ou subcontratados, credenciados e representantes, a manter e guardar o mais expresso, estrito e absoluto sigilo sobre dados, informações, conteúdo, especificações técnicas, características de ambientes, relações ou informações de caráter comercial com clientes da PRODESP, a que tenham acesso ou conhecimento, sob qualquer forma, em decorrência da prestação dos serviços e/ou fornecimento de bem, objeto deste contrato, no decorrer da sua execução ou cumprimento, sob pena de responder civil ou criminalmente pelo seu descumprimento, ficando responsável pela reparação por prejuízos materiais, morais, perdas e lucros cessantes decorrentes.

3.11.1. A obrigação de sigilo prevista no Item 3.11. aplica-se não só pelo prazo de vigência ou de execução dos serviços/fornecimento previstos neste contrato como estende-se também após seu encerramento pelo prazo de 20 (vinte) anos.

3.12. Providenciar, concomitantemente à assinatura do contrato, seu cadastro na Unidade Cadastradora do CAUFESP, caso não esteja cadastrada ou sua renovação, caso esteja com o cadastro vencido, bem como mantê-lo válido durante toda a vigência contratual;

3.13. Não emitir e/ou fazer circular duplicatas ou saque de letr e câmbio contra a PRODESP, relativamente a todo e qualquer crédito decorra, te deste Contrato;

3.14. Assinar o "Termo de Ciência e de Notificação", Anexo ciência da remessa da documentação do procediment Contas do Estado de São Paulo;

e contrato, dando rio ao Tribunal de

5/13 Rua Agueda Gonçalves, 240 - Taboão da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX

INTERNET: www.prodesp.sp.qov.br - prodespOprodesp.sp.qov.br

• PRODESP

5.1. O valor total estimado do presente contrato é de R$ 1.645 00,00 (um milhão, seiscentos e quarenta e cinco mil reais), base: 22/09/2014.

5.2. Pela execução dos serviços previstos neste instrument CONTRATADA os valores estabelecidos abaixo:

DESP pagará à


INTERNET: www.prodeso.so.gov.br - prodespeorodeso.sp.00v.br

PRO.00.6685


3.14.1. Ficará a critério da CONTRATADA o acompanhamento do processo junto àquela corte, cabendo-lhe as diligências para juntada da procuração nomeando seus representantes legais/procuradores e demais atos que se fizerem necessários.

3.15. Observada a natureza do objeto contratado, responsabilizar-se exclusivamente, pela retirada e descarte do material até o destino final, sempre que solicitado pela PRODESP, obrigando-se a apresentar a documentação comprobatória de sua qualificação para tanto, de conformidade com a legislação pertinente, sob pena de rescisão do ajuste, bem como da imposição das penalidades nele previstas.

3.16. Assinar, ao término da vigência do presente contrato, o Termo de Encerramento e Outras Avenças, conforme modelo ANEXO VI deste instrumento;

IV - OBRIGAÇÕES DA PRODESP

4.1. Facilitar o acesso do pessoal designado e devidamente credenciado pela CONTRATADA à documentação técnica e instalações relacionadas com o objeto deste contrato para a realização dos serviços;

4.2. Permitir à Equipe Auditora o amplo acesso às dependências da Companhia, observadas as normas de segurança vigentes;

4.3. Efetuar os pagamentos conforme disposto na cláusula V - PREÇOS.

4.4. Assinar, ao término da vigência do presente contrato, o Termo de Encerramento e Quitação, conforme modelo ANEXO VI deste instrumento.

V - PREÇOS

PRO.00.6685


• PRODESP

Valores Auditor/Cargo

Sócio 44 356,80 15.699,20

Gerente 836 300,00 250.800,00

Auditor Senior 2.640 120,00 316.800,00

Auditor Pleno 2.640 105,00 277.200,00

Auditor Junior 2.640 90,72 239.500,80 Total (1) 8.800 1.100.000,00

Total (2) 545.000,00

Identificação/Complexidade

Sistema - baixa Sistema - média Sistema - alta

nt rto

49.546,00 99.091,00

148.636,00

49.546,00 198.182,00 297.272,00

Quantidade

1 2 2

5.2.1. Auditorias dos sistemas

5.2.2. Teste do Código Fonte dos Sistemas

5.2.3. Valor total geral

Item Valor total "(RS)

Auditorias dos sistemas (1) 1.100.000,00 Teste do Código Fonte dos Sistemas (2) 545.000,00 Total Geral 1.645.000,00

5.3. Nos valores estabelecidos no item 5.2., estão inclusos todos os tributos, encargos, taxas incidentes sobre os serviços e despesas extras referentes ao translado, alimentação, hospedagem e tempo de deslocamento da equipe auditora.

VI- PAGAMENTO E REAJUSTAMENTO DE PREÇOS

o P

6.1. Os valores previstos no item 5.2., da cláusula V serão 30 (trinta) dias corridos, contados da data de entrega correspondentes às auditorias efetivamente realizada devida atestação pela área competente.

CONTRATADA em tas Fiscais/Faturas

2.2., após a

7/13 Rua Agueda Gonçalves, 240- Taboâo da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)


• PRODESP

PRO.00.6685


6.2. As importâncias a serem pagas pela PRODESP serão depositadas em conta corrente da CONTRATADA, no BANCO DO BRASIL S.A., conforme Decreto Estadual n° 55.357, de 18 de janeiro de 2010, de titularidade da CONTRATADA.

6.2.1. Para tanto, a CONTRATADA deverá informar à PRODESP, dentro do prazo de 15 (quinze) dias corridos a contar da assinatura do presente contrato, o número de sua conta corrente e o da agência do referido estabelecimento bancário.

6.3. As Notas Fiscais/Faturas de Serviços, representativas de cada um dos pagamentos mencionados no item 6.1. deverão ser entregues pela CONTRATADA na Sede da PRODESP, na Rua Agueda Gonçalves, n.° 240 - - Via de Serviço - Protocolo Central - Taboão da Serra / SP, CEP 06760-900, de segunda-feira a sexta-feira das 8h às 17h, a/c da Gerência Financeira, até o primeiro dia útil do mês subsequente ao da prestação dos serviços.

6.3.1. Na hipótese de divergência entre os valores constantes na Nota Fiscal/Fatura com os estipulados em contrato, a PRODESP poderá glosar a diferença, mediante a respectiva demonstração. Em caso de devolução da Nota Fiscal/Fatura, a reapresentação será considerada nova solicitação, e o pagamento será efetuado no prazo de 30 (trinta) dias, contados do seu recebimento;

6.3.2. Deverá constar das respectivas Notas Fiscais/Faturas o número deste Contrato.

6.4. A PRODESP só efetivará o pagamento das obrigações decorrentes do presente Contrato, caso a Certidão Negativa de Débito - CND-INSS esteja em vigor e/ou se não houver pendência de obrigação em nome da Contratada registrada no CADIN - Cadastro Informativo de Créditos não Quitados de Órgãos e Entidades Estaduais.

6.5. A CONTRATADA, optante pelo Sistema Integrado de Pagamento de Impostos e Contribuições (SIMPLES) junto à Secretaria da Receita Federal (SRF), instituído pela Lei Federal n° 9.317 de 05 de dezembro de 1996, deverá apresentar a cada pagamento, nos termos do artigo 30 da Instrução Normativa n.° 791 de 10 de dezembro de 2007 da Secretaria da Receita Federal (SRF), DECLARAÇÃO, emitida em duas vias e devidamente assinadas pelo representante legal da CONTRATADA. A não apresentação da respectiva declaração, ensejará a retenção na fonte dos tributos e contribuições devidos.

6.5.1. A PRODESP arquivará a primeira via da declara acima, que ficará à disposição da Secretaria d devendo a segunda via ser devolvida à CONTRAT

que se refere o item eita Federal (SRF), omo recibo.



• PRODESP

PRO.00.6685


6.6. Os valores estabelecidos no item 5.2., da cláusula V — PREÇOS serão reajustados, anualmente, de acordo com a variação do IPC FIPE (índice de Preços ao Consumidor), mediante aplicação da seguinte fórmula:

IPC R = Po . [ ( ) 1]

IPCo

Onde:

R = parcela de reajuste;

Po = preço inicial do contrato no mês de referência dos preços, ou preço do contrato no mês de aplicação do último reajuste;

IPC/IPCo = variação do IPC FIPE - índice de Preço ao Consumidor, ocorrida entre o mês de referência de preços, ou o mês do último reajuste aplicado, e o mês de aplicação do reajuste.

6.6.1. Na hipótese de superveniência de disposição de lei federal ou de determinação do Poder Executivo Federal, permitindo a aplicação de reajustamento de preços em periodicidade inferior à prevista no item 6.6., supra, poderão as partes contratantes repactuar a nova periodicidade, obedecidas as condições que a lei, então vigente, estabelecer;

6.6.2. Na hipótese de suspensão, extinção ou vedação do índice estabelecido no item 6.6., supra, será utilizado o índice oficial que vier a substituí-lo, ou, no caso de não determinação deste, será escolhido índice substituto que melhor reflita a variação dos custos da CONTRATADA;

6.6.3. Na periodicidade prevista no item 6.6., e de acordo com o percentual máximo de reajuste apurado nos termos desse item, as partes negociarão o percentual a ser aplicado sobre o valor do presente contrato, a título de reajuste, fundamentado em planilhas de custo ou outros documentos que comprovem o pleito da CONTRATADA.

VII - VIGÊNCIA

7.1. A vigência do presente contrato é de 20 (vinte) meses, c sua assinatura, podendo ser prorrogado, mediante ter 60 (sessenta) meses, caso não haja manifestação con de até 60 (sessenta) dias do término contratual ou de s

dOs a partir da data de ai o limite máximo de

7 as partes, no prazo - rrogações.


INTERNET: www.orodeso.sb.00v.br - prodespQgrodesp.sp.qov.br

desconsiderando o

• PRODESP


VIII - RESCISÃO E PENALIDADES

8.1. Constituem motivos de rescisão da presente avença aqueles elencados no artigo 78 da Lei Federal n.° 8.666, de 21/6/93 e alterações posteriores, no Regulamento do Pregão da PRODESP, na Lei Federal 10.520, de 17 de julho de 2002, aplicando-se ainda as disposições contidas na Resolução da Secretaria da Casa Civil do Governo do Estado de São Paulo n.° CC-52, de 19.07.2005.

8.1.1. É reconhecido o direito da PRODESP em haver da CONTRATADA as sanções previstas na legislação aplicável, mencionada no item anterior e as disposições do Decreto Estadual n.° 48.999, de 29/09/04, pela inexecução total ou parcial das obrigações contratuais.

8.2. O presente contrato poderá ser rescindido, por quaisquer das partes, pelo não cumprimento de quaisquer condições ou cláusulas estabelecidas neste instrumento, ficando a parte infratora sujeita, a favor da parte inocente, às perdas e danos correspondentes.

8.3. Os casos fortuitos e/ou motivos de força maior serão excludentes da responsabilidade das partes contratantes de acordo com o disposto no artigo 393 do Código Civil Brasileiro.

8.4. Pela inexecução total ou parcial de qualquer cláusula e/ou condição do contrato a PRODESP poderá, garantida a prévia defesa, aplicar à CONTRATADA as seguintes sanções:

8.4.1. Advertência, sempre que forem constatadas irregularidades para as quais a CONTRATADA tenha concorrido diretamente;

8.4.2. Multa equivalente a 10% (dez por cento) calculada sobre o valor total do contrato, no caso de rescisão, por culpa ou requerimento da CONTRATADA, sem motivo justificado ou amparo legal, a critério da PRODESP;

8.4.3. No caso de atraso na execução dos serviços previstos no cronograma estabelecido entre as partes, conforme item 2.2, a PRODESP poderá aplicar multa sobre o valor da auditoria em atraso, considerando-se os seguintes critérios:

a) atraso de até 30 (trinta) dias, multa de 0,3% p

b) atraso superior a 30 (trinta) dias, multa d previsto no inciso anterior;

10/13 Rua Agueda Gonçalves, 240- Taboâo da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.prodesp.w.gov.br - prodesPRprodesp.sriciov.br

PRO.00.6685

PRO.00.6685


• PRODESP

8.10. As partes poderão rescindir o presente contrato a q acordo, mediante aviso prévio com, no mínimo 10 (dez)

r tempo, de comum , liv e antecedência.


INTERNET: www.prodeso.so.00v.br - prodesoOorodeso.sp.00v.br

c) atraso superior a 60 (sessenta) dias, multa de 15% do saldo financeiro não realizado do contrato, cumulativa com o previsto no inciso b, sem prejuízo das demais sanções administrativas cabíveis.

8.4.4. Multa equivalente a 5% (cinco por cento) calculado sobre o saldo financeiro do contrato na data da ocorrência, por infringência de quaisquer cláusulas, condições ou obrigações pactuadas neste contrato, não abrangidas pelas alíneas anteriores;

8.4.5. Suspensão temporária de licitar e contratar com a PRODESP e com a Administração Pública em geral, pelo prazo de até 05 (cinco) anos;

8.4.6. Declaração de inidoneidade para licitar e contratar com a PRODESP, observadas as disposições legais aplicáveis, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade, que será concedida sempre que a CONTRATADA ressarcir a PRODESP pelos prejuízos resultantes, decorrido o prazo da sanção aplicada com base no subitem 8.4.5., acima.

8.5. Ficará a critério da PRODESP a aplicação cumulativa ou não das sanções acima.

8.6. As penalidades serão aplicadas sem prejuízo das multas previstas no ato convocatório, após ter sido garantido o exercício do direito de defesa e registradas no Cadastro Unificado de Fornecedores - CAUFESP, obedecendo-se também as disposições do Decreto Estadual n.° 48.999 de 29/09/04.

8.7. As multas previstas neste contrato poderão ser descontadas dos pagamentos devidos ou cobrados da CONTRATADA, através de cobrança direta e autônoma, pela via administrativa ou judicial, garantida a prévia defesa.

8.8. No caso de não existirem pagamentos pendentes, a CONTRATADA deverá efetuar a quitação da multa em até 48 (quarenta e oito) horas contadas do recebimento do documento de cobrança respectivo, no Departamento de Tesouraria da PRODESP, na Rua Agueda Gonçalves, n.° 240 - Taboão da Serra - SP, andar Térreo, sob pena de, em não o fazendo, sujeitar-se aos procedimentos judiciais cabíveis.

8.9. Os valores referentes às multas, indenizações e demais importâncias quando não ressarcidos pela CONTRATADA, serão atualizados pelo IPC-FIPE, calculado pro- rata-dia e acrescido de juros de mora de 12% (doze por ce ao ano.

PRO.00.6685


• PRODESP

IX - DISPOSIÇÕES FINAIS

9.1. As partes contratantes ficarão sujeitas às normas vigentes dispostas na Lei Federal n° 10.520 de 17/07/2002, Decreto Estadual n°47.297 de 06/11/2002, Regulamento da Licitação na Modalidade de Pregão da PRODESP, publicado no D.O.E. de 12/03/2003, republicado no D.O.E. em 23/10/2003, Decreto Estadual n° 49.722 de 24/06/2005, Decreto Estadual n° 51.469 de 02/01/2007, Lei Estadual n° 6.544, de 22/11/1989 e Lei Federal n° 8.666, de 21/6/1993, bem como às disposições do Decreto Estadual n° 48.999/04.

9.2. O presente contrato obriga as partes contratantes por si e por seus sucessores e não pode ser cedido ou transferido, total ou parcialmente, pela CONTRATADA, a terceiros estranhos a esta contratação.

9.3. O cumprimento, durante a execução dos serviços, das leis federais, estaduais e municipais vigentes, correrão por conta da CONTRATADA, sendo esta a única e exclusiva responsável pelas infrações que houver.

9.4. Qualquer omissão ou tolerância das partes no exigir o estrito cumprimento das cláusulas e condições deste contrato ou no exercer uma prerrogativa dele decorrente, não constituirá renúncia e nem afetará o direito da parte contratante em exercê-lo a qualquer tempo.

9.5. As relações entre a CONTRATADA e a PRODESP, serão sempre por escrito, ressalvados os entendimentos verbais motivados pela urgência dos serviços, que, entretanto, deverão ser, com a maior brevidade, confirmados por escrito.

9.6. As cláusulas deste contrato prevalecerão sempre em relação a qualquer acordo verbal ou escrito, ajustado anterior ou posteriormente à data de sua assinatura, bem como em relação às disposições eventualmente conflitantes com o edital da licitação que o originou, a menos que sejam expressamente revogadas pelas partes, através de termo de retificação a este contrato.

9.7. O disposto neste contrato não poderá ser alterado ou do pelas partes, salvo por meio de Termo Aditivo.


INTERNET: www.prodeso.so.00v.br - prodespOprodesp.sp.ciov.br

PRO.00.6685


• PRODESP

aboão da Serra, 114 de de 2014.

MM Diretor

li & AS OCIADOS, CONSULTORES

Cie-123312,bl 61 A-Ce

qm.„E ALE LTDA. EPP

X— ANEXO

10.1. Integram apresente contrato, os seguintes anexos:

Anexo I Especificações Técnicas; Anexo II - Acordo de Confidencialidade; Anexo III - Tabela de Referência de Sistemas Auditáveis; Anexo IV - Ordem de Serviço; Anexo V - Termo de Ciência e de Notificação Tribunal de Contas do Estado de

São Paulo; Anexo VI Termo de Encerramento e Outras Avenças - Modelo.

XI — FORO

11.1. As partes elegem o foro da Comarca de Taboão da Serra, Estado de São Paulo, como único competente para conhecer e dirimir quaisquer questões oriundas do presente contrato, com expressa renúncia de qualquer outro foro, por mais privilegiado que seja.

E, por estarem assim justas e contratadas, as partes firmam o presente instrumento em duas vias de igual teor e forma na presença de duas testemunhas.

COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE S -O PAULO - RODESP

Testemunhas:


INTERNET: www.prodesp.sp.gov.br - prodesp(Wprodesp.sp.clov.br

• PRODESP


ANEXO I

ESPECIFICAÇÕES TÉCNICAky



XODESP Tecnologia da Informação 29001

ANEXO I ESPECIFICAÇÕES TÉCNICAS BÁSICAS REQUERIDAS

SERVIÇOS TÉCNICOS ESPECIALIZADOS DE AUDITORIA DE SISTEMAS

RELSLT064/2014 Maio/2014

PREÂMBULO

I) CONTEÚDO DO ANEXO I

ANEXO I - ESPECIFICAÇÕES TÉCNICAS BÁSICAS REQUERIDAS: fornece as especificações técnicas mínimas necessárias, a serem obrigatoriamente atendidas pela proponente.

II) OBJETIVO

Contratação de serviços de Apoio Técnico Especializado - Serviços de Auditoria de Sistemas e Segurança da Informação.

III) REQUISITOS TÉCNICOS E FUNCIONAIS

Os requisitos técnicos e funcionais para que os serviços propostos atendam as necessidades de contratação de Serviços Técnicos Especializados de Auditoria de Sistemas, estão descritos a seguir e, são de caráter OBRIGATÓRIO.

1. METODOLOGIA

As atividades de auditoria de sistemas devem ser norteadas por metodologias reconhecidas no mercado nacional e internacional, preservando aspectos de segurança e qualidade da informação, dentre as quais citamos:

- ABNT NBR ISSO/IEC 27002:2005; - COBIT - Control Objectives for Information and Related Tecnology; - ITIL - Information Technology Library Infrastructure ; - ABNT NBR 17.799; - lns/04 do TCU; - ISO/IEC 27033 e 27034; - IASE n° 3402; - SSAE-16 (antigo SAS 70 da

As restrições impostas a esses pro referem ao caráter de confidencialidade total para

quem exerce as funções de auditoria, ti ontrat da se ob kformalmente, através de

DE"

GsR 77 DESr

001 27001 20000

,2


assinatura de um termo específico, a manter rigoroso sigilo durante e após a conclusão das tarefas pertinentes (Anexo II — Termo de Confidencialidade).

De acordo com a metodologia empregada, a avaliação dos pontos de controle deverá ser orientada por uma guia de auditoria, a qual tem como norte principal garantir que os testes necessários sejam realizados de forma completa, para assegurar a qualidade dos resultados gerados.

Quanto às auditorias de linhas de código, obrigatoriamente, deverão ser realizadas nas dependências da Prodesp-Sede (Auditoria Interna), e a contratada deverá ainda montar o seu ambiente operacional para realização da atividade, não podendo, em hipótese alguma usar recursos de ambiente "em nuvem'. Para maior entendimento sobre as auditorias de linha de códigos, a Prodesp publicará em seu Edital uma tabela exemplificada de sistemas a auditar com seu total de linhas de código, tipo de plataforma (alta, média, mista) e complexidade (alta, média, baixa). Isso não quer dizer que os sistemas contidos na tabela deverão ser obrigatoriamente auditados, podendo ser outros que não estão na tabela. A tabela, pois, é somente uma referencia de dados que a licitante tomará conhecimento para sua orientação (Anexo 111—Tabela Exemplificada). Como demonstrado mais adiante no parágrafo ESCOPO DA AUDITORIA, a Prodesp não auditará mais do que vinte (20) milhões de linhas de código no prazo de 20 meses.

2. QUALIFICAÇÃO TÉCNICA

a) Apresentar um ou mais atestados de capacidade técnica em serviços de auditoria de sistemas, fornecidos por pessoa jurídica de direito público ou privado, que comprovem que a licitante tenha realizado o serviço de forma satisfatória em sistemas e ambientes computacionais compatíveis com o porte da PRODESP.

b) Apresentar um ou mais atestados do uso da ferramenta de software de auditoria em linhas de código emitido por pessoa jurídica de direito público ou privado, comprovando que a ferramenta foi utilizada para auditar no mínimo cinco (5) milhões de I de código com resultado considerado satisfatório. 0(s) atestado(s) deve(m) men ferramenta utilizada. A licitante deverá comprovar o direito de uso da ferramenta.

2

ISO 001

27001 20000 29001

Controles Gerais de seguran Segurança de Perímetro.

abrangendo inclusive, o Data Center e

3

1

pRopEsp

9001

27001


20000

29001

3. PRAZO PARA EXECUÇÃO DOS SERVIÇOS:

Vinte (20) meses contados da data de assinatura do contrato.

4. LOCAL PARA EXECUÇÃO DOS SERVIÇOS

Na execução dos trabalhos de auditorias de linhas de código, obrigatoriamente, serão executados nas dependências da Prodesp-Sede.

Na execução dos trabalhos de auditoria de sistemas, tais como, reuniões, levantamentos, entrevistas e aplicação de testes, devem ser efetuada nas dependências da CONTRATANTE, conforme segue:

— SEDE - Rua Agueda Gonçalves, 240 — Taboão da Serra — SP; — ou nos endereços das unidades cujos sistemas serão auditados.

5. ESCOPO DA AUDITORIA Auditoria de Sistemas - Avaliação do ambiente operacional e de desenvolvimento dos sistemas em ambientes WEB (baixa plataforma), IBM e UNISYS (alta plataforma), no que tange aos seguintes aspectos:

A) SISTEMAS EM PRODUÇÃO

Tendo por objetivo assegurar a qualidade e segurança dos sistemas em produção, mediante avaliação dos riscos existentes e da adequação dos respectivos controles, o serviço de auditoria nos sistemas em produção terá o seguinte escopo:

a) AVALIAÇÃO DO AMBIENTE OPERACIONAL

Controles organizacionais e de operações, envolvendo a segregação de funções e regras de competência para autorização de manutenções no sistema;

- Controles de acesso, abrangendo: acesso restrito aos equipamentos; sistemas; arquivos de dados e documentação e suporte dos sistemas ao pessoal autorizado;

- Controles sobre continuidade dos serviços, envolvendo: retomada imediata das operações críticas interrompidas de forma inesperada e proteção dos dados críticos do sistema (inclusive e principalmente Procedimentos de Backup's);

- Controles gerais de seguran rangendo: gerência de riscos; política de segurança; atribuição de respo ades de segurança,

001

27001

20000


0001

b) CONTROLE DE ACESSO LÓGICO

- Classificação dos recursos de informação de acordo com sua importância e vulnerabilidade;

- Manutenção da lista atualizada de usuários e níveis de acesso;

- Controle lógico sobre arquivos de dados e programas;

- Controle sobre a base de dados;

- Controles lógicos sobre acesso remoto;

- Monitoramento do acesso, investigação de evidências de violações de segurança e adoção de medidas corretivas.

c) CONTROLE DE SOFTVVARE

- Acesso limitado ao software de sistema;

- Acesso e uso supervisionado ao software de sistema;

- Controle das alterações e instalação do software de sistema.

d) AVALIAÇÃO DO SISTEMA APLICATIVO EM OPERAÇÃO

Controle de entrada de dados, envolvendo: autorização e aprovação para entrada de dados; verificação de códigos; controle de conversão de dados; controle de movimentação de dados; ocorrência de correções, etc...;

- Controles de processamento, envolvendo: totais de controle; classificação de arquivos; testes de limite (razoabilidade), etc...;

Controles de saída de dados, envolvendo: comparação de totais e distribuição de saídas, etc...;

- Avaliação dos procedimentos para execução de backup. e) CONTROLE E ALTERAÇÃO DE SOFTWARES (GMUD-Gerenciamento de Mudanças)

- Características de processamento e alterações nos programas são devidamente autorizadas;

- Todos os softwares novos ou alterados são testados e aprovados; - Alterações de emergência;

- Bibliotecas de software;

- Identificação e inventário d amas;

- Restrições de acesso à bis de programas.

4


20000

29001

B) AUDITORIA NAS LINHAS DE CÓDIGOS DE PROGRAMAS

a) OBJETO

Prestação de serviços para verificação de vulnerabilidades das aplicações através de análise dos códigos fonte.

b) ESCOPO

Verificar vulnerabilidades das aplicações, utilizando ferramenta de análise dos códigos fonte, devendo auditar as vulnerabilidades em ambiente de produção ou em desenvolvimento. As auditorias nas linhas de código não devem ultrapassar 20 milhões de linhas entre os sistemas a serem auditados no prazo de 20 meses.

c) CARACTERISTICA DA FERRAMENTA

• Capacidade de detecção de vulnerabilidades no código acima de 90%.

• Porcentagem de falsos positivos abaixo de 15%.

• Deverá trabalhar com funcionamento assíncrono, a ferramenta deve trabalhar simultaneamente sem a necessidade de esperar a finalização de cada tarefa.

• Deverá permitir realizar múltiplas tarefas/auditorias simultâneas sem a espera do termino de cada tarefa, assim continuar trabalhando na geração de relatórios, projetos, gestão de vulnerabilidades etc.

• Deve suportar as linguagens: Java, JSP, C#, VB, .Net, PHP, Classic ASP, Cobol, Natural, PL-SQL, ABAP, Javascript

• Deve fazer a monitorização em tempo real das análises.

• Deve realizar a auditoria em cima do código fonte e não em binários.

• Deverá ter Integração com IDEs Eclipse e NetBeans, para que os desenvolvedores possam testar seu código antes de subi-lo para o repositório.

• Deverá ter Integração com SLC, durante o ciclo de vida do projeto através de Subversion (SVN), permitindo testar o código em cada commit.

• Deve permitir integração com ferramentas de controle de versões do tipo Subversion, acoplando-se desta maneira ao ciclo de vida do desenvolvimento do início até o final.

• Deve ter integração com tecnologias WAF (Web Application Firewall).

• Deve apresentar integração direta com o repositório do código fonte para análise direta.

• Deve trabalhar com a ferramenta de análise através de interface WEB.

• Deve ser apresentada priorit te em português, podendo conter outras línguas, desejável inglês e espanhol.

• Não deve requerer conheci segura para uso da ferramenta.

évio de segurança da e programação

5

iff5 9001

27001 20000 2900

2C


• Deve permitir a administração por usuários, grupos e projetos.

• Deve conter um gestor que permita trabalhar com os resultados obtidos podendo-se dividir as vulnerabilidades em até 4 estados diferentes para facilitar os relatórios personalizados.

• Deve conter relatórios personalizados podendo-se adaptar o visual, adaptando a imagem corporativa, logos cores etc. e também podendo-se parametrizar e personalizar as informações colhidas no mesmo ãmbito.

• Deve conter um Dashboard para visualização em tempo real globalizado das auditorias, aplicações, linguagens, vulnerabilidade etc.

• Deve conter um gestor de documentos para compartilhar as informações.

• Deverá ter um diagrama de sequência onde se mostra o fluxo.

• Deve possuir pelo menos 3 níveis de organização da informação.

• Deve ter acesso e gestão da taxonomia completa das detecções de vulnerabilidades.

• Deve possuir classificação de projetos.

• Atualização periódica de vulnerabilidades.

C) SISTEMAS EM HOMOLOGAÇÃO

a) Avaliação dos testes e homologações, gerados até o estado atual do projeto, sendo os principais:

- especificações funcionais dos módulos; - avaliação e auditoria das linhas de código em programas já catalogados; - mapas de integrações com outros sistemas; - avaliar os testes integrados Batch e Web (caso já tenham sido realizados); - avaliar as regras de acessibilidade às informações dos sistemas (quem, quando, o que); - lista atualizada de usuários e níveis de acesso; - controles lógicos de arquivos, pro as e base de dados; - regras de GMUD estabelecidas; - plano de homologação (satisf cliente).

6. DESCRIÇÃO DO AMBIENTE DOS SISTEMAS

6

29- ISD

9001

27001


20000

29001

a) ALTA PLATAFORMA: IBM Z196

— Cerca de 216 sistemas;

Sistema Operacional versão z/OS 1.12;

— RACF;

Sistema de Segurança desenvolvido internamente - Ambiente Online; — CICS versão TS 4.1;

Banco de dados ADABAS versão 8 2.2, com aproximadamente 47 bancos; — Banco de dados IBM DB2 versão 10 com 12 bancos; — ROSCOE;

NATURAL 4.2.7, com cerca de 18.000 programas e 11.500 mapas;

COBOL II, com cerca de 20.000 programas e 2.725 mapas BMS;

Cerca de 11.822 procedures;

Cerca de 1.632 rotinas (utilitários) em assembler.

UNISYS LYBRA 890:

Sistema Operacional System MCP;

Cerca de 65 sistemas;

— COBOL II, com cerca de 3087 programas;

— Banco DMS II.

b) BAIXA PLATAFORMA:

Servidores Intel: Ambiente virtualizado - VMware VSphere; — Servidores RISC: IBM e SUN, utilizados com banco de dados DB2 e Oracle;

Sistemas Operacionais: Microsoft Windows, Linux (SuSe e Red Hat), AIX e Solaris;

Servidores HTTP: Microsoft IIS - Internet Information Services e Apache; — Container WEB: Tomcat;

Servidores de Aplicação: IBM Websphere, BES - Borland Enterprise Server; Oracle Weblogic e JBOSS;

Portal Web: Vignette e IBM WebSphere Portal Server;

Linguagem de Programação: JAVA e Microsoft dot net;

Ambiente de Desenvolvimento: Eclipse, Netbeans, Borland (JBàílder, Starteam e Together);

— Banco de Dirk. Oracle, IBM DB2, Microsoft SQL Server; Postgree e MySQL;

— Inte•ra bes: IBM r, Oracle Bus Service, Ensembl nty (Intersy

7

— Gerenciad a : IBM Websphere Message Queue;

rRODESP ISD

Tecnologia da Informação 17P.IMÇPÀ

- Conexão: IBM CTG - CICS Transaction Gateway e Verastream Host Integrator - VHI da Attachmate;

- Business Intelligence: Oracle BI Enterprise Edition;

- Emulação 3270 (WEB): Verastream Host Integrator - VHI da Attachmate.

1. Ambiente do Data Center

Seguem as características macro do Data Center da Prodesp:

1.1 Processamento de dados

,. _Insinuo .:

r. , Unidade

.'• Õaditnidadir.

',Miai- ' Mainframe - Processamento em MIPS - z196 MIPS/ANO 3417 Mainframe - Processamento em MIPS - Produção RPM/ANO 87480 Mainframe - Processamento em MIPS - Desenvolvimento RPM/ANO 53320 Armazenamento de dados - Baixa Plataforma TB/ANO 560 Armazenamento de dados - Alta Plataforma TB/ANO 32 Serviços de Impressão MIL PAGINAS 15000

Tabela 2— Processamento de dados.

1.2 Serviços de Hospedagem de Servidores

o Uffldade5

opacidade , Atual I,

Hospedagem Básica Servidor Virtual 280 Virtualização - Máquina Virtual Processador 1, Capacidade 70 GB, memória 2GB) Servidor Virtual 290 Virtualização - Máquina Virtual Processador 2, Capacidade 70 GB, memória 4GB) Servidor Virtual 205 Virtualização - Máquina Virtual Processador 4, Capacidade 70 GB, memória 8GB) Servidor Virtual 100

Tabela 3 — Serviços de hospedagem de servidores.

1.3 Ambiente Data Center Mainframe/Robótico/Backup

22 9001

27001 2.0000

-Ambiente robótico sustentado por dois robôs Storage Tek SL8500, que atende aos ambientes:

• Mainframe (Unisys e IBM); • Archive; • Plataf

-Solução d Bat.aseada em produtos ntec NetBackup. 7.5.0.7

8


7. DESCRIÇÃO DAS LINGUAGENS UTILIZADAS NA ELABORAÇÃO DOS SISTEMAS DA PRODESP

— ASPNB6; — COBOL; — COBOUNATURAL; — COBOUADASQL; — COBOUCICs — E-SQL — T-SQL — PLSQL

— JAVA; — NATURAL; — CLIPPER; — C/C++ — .NET/C# — .NET/ASP3 — JAVASCRIPT — HTMUXML — ASSEMBLER (IBM) — PHP — ABAP

8. CRONOGRAMA DE ATIVIDADE DITORIA

9001 27001 20000

9

Entregável: Relatório ta) de conclusão e reom dação onde deverão estar definidos os pontos de fr controle do sistema.

10

30 IrZODESP


ISO

9001

27001

20000

29001

As atividades de auditoria deverão ser definidas pela Prodesp, através da abertura de uma Ordem de Serviço do sistema a auditar, durante a vigência do contrato, após todas as formalidades legais e procedimentos de praxe (Anexo IV — OS).

Cada trabalho de auditoria definido na Ordem de Serviço deverá, preferencialmente, ser desenvolvido nas seguintes etapas:

Etapa 1) Planejamento detalhado da auditoria do sistema a ser auditado conforme Ordem de Serviço

Entregável: Cronograma detalhado das etapas do trabalho da auditoria, levando-se em consideração a complexidade do sistema a ser auditado.

Esse entregável representa 5% (cinco por cento) dos trabalhos de auditoria.

Etapa 2) Caracterização do Sistema a Auditar Através de uma Ordem de Serviço

Levantamento de dados sobre as atividades das unidades usuárias dos sistemas envolvidos, dos procedimentos, características técnicas e dos recursos computacionais e tecnológicos utilizados na homologação e na operação destes sistemas, conforme abertura da Ordem de Serviço.

Entregável: Relatório de entendimento e caracterização dos sistemas a auditar através dos levantamentos efetuados e atas de reuniões.


Etapa 3) Inventário de pontos de controle

Identificação da descrição dos pontos de controle passíveis a vulnerabilidades a serem avaliados. Auditoria nas linhas de código do sistema que está sendo auditado, segundo definição da Ordem de Serviço.

Entregável: Relatório de inventário dos pontos de controle e atas de reuniões, inclusive os erros encontrados nas linhas de código do sistema sendo auditado.


Etapa 4) Avaliação dos pontos de controle

Realização de testes e exames detalhados nos pontos de controle identificados.

Entregável: Relatórios dos testes e exames aplicados (usando metodologia própria ou( de mercado), visando demonstrar o COMPLIANCE da aplicação (criação e definição das aderências).


Etapa 5) Elaboração do relatório de auditoria de sistemas

Análise e julgamento dos re btidos nos exames de auditoria, apresentação das ontagem e edição do relatório de auditoria. propostas para melhorias.

Tecnologia da Informação 7001

20000 29001

Esse entregável representa 25% (vinte e cinco por cento) dos trabalhos de auditoria.

Etapa 6) Conclusão dos trabalhos

Revisões, ajustes, entrega e aprovação do relatório final de auditoria, o qual deverá ser previamente acordado pela Prodesp.

Entregável: relatório final da auditoria devidamente assinado pela contratada.


9. SISTEMAS A AUDITAR

Os sistemas passíveis de auditoria estão elencados em uma tabela de referência (Anexo III). Essa tabela servirá apenas como um referencial dos sistemas que poderão ser auditáveis, não confirmando que aqueles ali contidos obrigatoriamente deverão ser auditados. Esse balizamento é necessário inclusive para que se tenha uma quantidade aproximada do total de linhas de código a auditar em sistemas de alta, média e baixa complexidade. Em experiências anteriores em outras auditorias de sistemas pudemos levantar o seguinte quadro de evidências com relação ao prazo de execução de uma auditoria:

Sistemas com baixa complexidade tecnológica — em até 2 meses

Sistemas com média complexidade tecnológica — em até 3 meses

Sistemas com alta complexidade tecnológica — em até 5 meses

Fatores, entre outros, que determinam a complexidade de um sistema: - Regra do negócio; - Quantidade de programas e rotinas que efetuam cálculos, como por exemplo, os sistemas de folha de pagamento, financeiro e contábil; - Complexidade de queries a banco de dados, como por exemplo, o sistema de atribuição de aulas; - Quantidade de acessos a Bancos de Dados (Criação, Leitura, Atualização e Deleção); - Meios de acesso (internet, intranet, extranet); - Interação com o o istemas, por exemplo, o sistema e-CNH do DETRAN envia informaçõ DENATRAN; - Integração en as, como por e pio, o cadastro de alunos da rede estadual e mun stema de arrec .o do IPVA Online e os sistemas dos bancos con

j 2

11

32 rRODESP Tecnologia da Informação

ISD

001

27001

20000

29001

- Quantidade de relacionamentos entre programas, ou seja, programas que chamam outros programas e/ou rotinas e os que são chamados por outros programas e/ou rotinas; - Quantidade de softwares utilitários (classificação, cálculo de datas, dígitos verificadores); - Quantidade de softwares específicos (banco de dados, servidores de aplicações, servidores HTTP, conectividade, integração, gerenciamento de filas, entre outros.

10. COMPOSIÇÃO DA EQUIPE A equipe de auditores deverá ser composta com os seguintes 5 elementos: - 1 Sócio responsável - 1 Coordenador operacional (Trabalho de campo); - 1 auditor Sr; - 1 audito Pleno; - 1 auditor Jr

A proponente deverá declarar para os serviços de auditoria de sistemas, a relação dos profissionais adequados e disponíveis, com comprovação de certificações, sendo que no mínimo deverão ser relacionados os responsáveis, conforme segue:

a) SÓCIO/DIRETOR - Instrução: graduação em quaisquer áreas tecnológicas ou em áreas administrativas. Certificações em pós-graduação em nível de mestrado e/ou doutorado poderão ser levadas em consideração; - Certificações: ISACA/CGEIT— (Certified in the Government Enterprise Information Technology), e, ISACA/ITGI COBIT, e OGC/ITIL V3. Outras certificações poderão ser também levadas em consideração. - Conhecimentos específicos/habilidades: - Sólidos conhecimentos de Auditoria de sistemas em desenvolvimento e produção; - Competência em gerenciamento de equipes; - Competências em práticas do PMI; - Competência em CobiT.

b) COORDENADOR (GERENTE) DE AUDITORIA DE SISTEMAS - Instrução: graduação em quaisquer áreas tecnológicas; - Certificações: ISACA/CISA (Certified Information Systems Auditor) e ISACA/1TGI — COBIT Foundation, e ISACA/CGEIT-(Certified in the Government Enterprise Information Technology), e OGC/ITIL V3. Outras certificações poderão ser também levadas em consideração. - Cothecimentos ficos/habilidades: - Sólidos conh de Auditoria de sistem desenvolvimento e produção; - Competência ciamento de equipes;

12

9001 27001 20000 29001

13

VALTEFI ALMEIDA SU eletr. 14877-5 Maneta de leio

MARIDO MARTIN MERA Metr. 8967-9

ede--irWT


- Competências em práticas do PMI; - Competência em CobiT; - Competência na aplicação de técnicas de auditoria de sistemas (desenvolvimento/produção); - Competência em análise de sistemas.

c) AUDITOR DE SISTEMAS SÊNIOR - Instrução: graduação em quaisquer áreas tecnológicas; - Certificações: ISACA/CISA (Certified Information Systems Auditor) e OGC/ITIL V3, e ISACA/ITGI — COBIT Foundation; - Conhecimentos específicos/habilidades: - Conhecimentos de Auditoria de sistemas em desenvolvimento e produção; - Competência em CobiT; - Competência na aplicação de técnicas de auditoria de sistemas (desenvolvimento e produção); - Competência na utilização de software de apoio à auditoria de sistemas; - Competência em análise de sistemas.

d) AUDITOR DE SISTEMAS PLENO - Instrução: graduação em quaisquer áreas tecnológicas; - Certificações: ISACA/ITGI — COBIT Foundation, ou OGC/ITIL V3; - Conhecimentos específicos/habilidades: - Conhecimentos de Auditoria de sistemas em desenvolvimento e produção; - Competência em CobiT; - Competência na aplicação de técnicas de auditoria de sistemas (desenvolvimento/produção); - Competência na utilização de software de apoio à auditoria de sistemas; - Competência em análise de sistemas.

e) AUDITOR DE SISTEMAS JUNIOR - Instrução: graduação em quaisquer áreas tecnológicas; - Conhecimentos específicos/habilidades: - Conhecimentos de Auditoria de sistemas em desenvolvimento/produção; - Competência em CobiT; - Competência na aplicação de técnicas de auditoria de sistemas (desenvolvimento/p e ução); - Competência ção de software de apoio à auditoria de sistemas; - Competência se de sistemas.

PRO.00.6685


• PRODESP

ANEXO II ACORDO DE CONFIDENCIALIDADE PARA A REALIZAÇÃO DE PROVA DE CONCEITO. QUE ENTRE SI FAZEM A COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO — PRODESP E GALEGALE & ASSOCIADOS, CONSULTORES LTDA. EPP.

Pelo presente instrumento, de um lado, a COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP, com sede na cidade de Taboão da Serra, Estado de São Paulo, na Rua Agueda Gonçalves n° 240, CEP 06760-900, inscrita no CNPJ sob o n.° 62.577.929/0001-35, por seus representantes legais final designados e assinados, doravante designada simplesmente DIVULGADORA, e, de outro, a empresa GALEGALE & ASSOCIADOS, CONSULTORES LTDA. EPP, por seus representantes legais ao final assinados, doravante denominada simplesmente RECEPTORA:

CONSIDERANDO que a DIVULGADORA tem interesse em trocar informações com a RECEPTORA no intuito de avaliar as oportunidades de mercado e as possibilidades de parceria entre as duas empresas;

CONSIDERANDO que a DIVULGADORA e a RECEPTORA concordam em manter em sigilo as informações ora divulgadas, apenas para determinar a viabilidade de tais oportunidades;

RESOLVEM firmar o presente ACORDO mediante as seguintes cláusulas e condições, referente à POC.

1. Definições para efeitos deste ACORDO:

a) "informações": as comunicações ou dados, de quaisquer formas não limitada às formas oral, escrita, gráfica ou eletromagnética;

b) "partes": as partes que celebram este contrato, ou seja, DIVULGADORA e a RECEPTORA ,

c) "informações confidenciais": aquelas informações que as Partes desejam proteger contra o uso ilimitado, divulgação ou competição e que sejam designadas como tal por meio deste ACORDO, especialmente aquelas rel vas às condições comerciais, não limitado à lista de clientes, tabelas de preços, flux e limites geográficos.

s pela DIVULGADORA para a RECEPTORA ECEPTORA como informações confidenciais, não se tratarem de informações confidenciais.

2. Todas as informações que forem t devem ser consideradas protegida exceto se antes da divulgação for es

,


INTERNET: www.prodeso.so.00v.br - prodesp(Wprodesp.sp.qov.br s'-‘7

PRO.00.6685


• PRODESP

tais informações sejam desenvolvi as informações confidenciais divul ireta ou indiretamente.

endentemente pela RECEPTORA sem que gundo este ACORDO tenham sido usadas

2/4 Rua Agueda Gonçalves, 240- Taba() da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.prodeso.sp.00v.br - prodesporodesp.sagov.br

3. As informações confidenciais da DIVULGADORA devem ser tratadas como confidenciais e protegidas pela RECEPTORA por um período indeterminado. As obrigações de confidencialidade e não divulgação determinadas neste ACORDO devem permanecer em vigor por tempo indeterminado, sem considerar a extensão ou duração da relação de negócios entre as Partes.

4. As Partes concordam que, conforme solicitação da DIVULGADORA, todas as informações confidenciais que estiverem de posse da RECEPTORA devem ser devolvidas à DIVULGADORA ou destruídas, sendo os critérios e instruções da DIVULGADORA. Independente da devolução ou destruição das informações e/ou dos documentos fornecidos, a RECEPTORA permanecerá com a obrigação de não divulgação dos mesmos, mantendo a obrigação de confidencialidade prevista neste ACORDO, mesmo após o término do mesmo.

5. Os materiais, inclusive documentos, desenhos, modelos, protótipos, dispositivos, esboços, projetos, listas de componentes, programas, mapas, propostas, informações financeiras ou comerciais, e dados (juntamente com quaisquer meios de suporte, como discos e fitas), fornecidos por uma parte a outra, incluindo, quaisquer dados, documentos ou materiais elaborados pela RECEPTORA resultantes das revelações aqui previstas, serão consideradas como INFORMAÇÕES CONFIDENCIAIS e permanecerão sendo de exclusiva propriedade da parte que a transferiu, naquilo que não conflitar com direitos preexistentes da outra parte.

6. A RECEPTORA concorda que

a) quaisquer informações confidenciais divulgadas de acordo com este documento devem ser usadas pela RECEPTORA tão somente com o propósito para o qual estas informações foram divulgadas;

b) quaisquer informações confidenciais divulgadas de acordo com este documento permanecem em qualquer instância propriedade da DIVULGADORA e;

c) exceto nos casos de determinação judicial ou expressa disposição prevista em lei, a RECEPTORA não pode usar, distribuir, divulgar ou disseminar tais informações confidenciais a quem quer que seja, salvo exclusivamente a seus empregados, que necessitem ter conhecimento de tais informações confidenciais com o propósito para o qual estas informações foram divulgadas, a não ser e até que:

tais informações estejam disponíveis para o público por outros meios que não por quebra deste ACORDO; ou

tais informações estejam de posse da RECEPTORA ou de seus empregados sem restrição, antes de qualquer divulgação feita segundo este ACORDO; ou

tais informações sejam ou tenham sido divulgadas, para a RECEPTORA ou seus empregados, por terceiros que não te sido empregados das partes e, desde que por meios legais tenham obtido con to; ou

PRO.00.6685


• PRODESP

4. O presente ACORDO quanto ao dever de c indeterminado e quanto à troca de informações a ser prorrogado, mediante termo, até o limite

ialidade tem vigência por prazo erá de 20 (vinte) meses, podendo

e 60 (sessenta) meses.

7. A RECEPTORA garante que protegerá por todos os meios as informações confidenciais, comprometendo-se a protegê-las da mesma forma e no mesmo grau que protege suas próprias informações confidenciais. A RECEPTORA concorda ainda em avisar a todos os seus empregados que tiverem acesso às informações confidenciais de suas obrigações de acordo com o que rege este documento.

8. Falhas ou atrasos de qualquer uma das partes no exercício de qualquer direito, poder ou privilegio não devem ser considerados como desistência ou modificação dos direitos previstos neste documento.

9. A RECEPTORA se compromete a manter sigilo das informações recebidas preliminarmente, isto é, antes da assinatura deste ACORDO.

10. Fica entendido que este ACORDO não pretende, e não vai obrigar as partes, a celebrar quaisquer outros Acordos ou realizar qualquer negócio, ficando, ainda, certo e ajustado que as Partes não têm exclusividade no recebimento das informações confidenciais a serem divulgadas.

11. Nada que esteja contido neste ACORDO deve ser tomado como garantia ou conferência de direitos de licença de uso das informações confidenciais divulgadas à RECEPTORA.

12. Qualquer aditamento a este ACORDO deve ser feito por escrito e assinado pelos representantes legais ou procurador bastante.

13. Este ACORDO é exclusivo para as partes signatárias e não é extensivo aos seus aos sucessores, subsidiárias, controladas, filiadas, acionistas e controladoras.

14. As partes elegem o foro da Comarca de Itapecerica da Serra para dirimir quaisquer dúvidas sobre este ACORDO, renunciando a qualquer outro por mais privilegiado que seja.



PRO.00.6685


• PRODESP

FERNA BOZOLA Diretor-Presidente

COS TADEU VAZAI(' de Desen olvimento de

Siste as

C; (G'2' ouzc

E por estarem assim justas e contratadas, assinam as Partes o presente instrumento, em duas vias de igual teor, na presença de duas testemunhas.

Taboão da Serra, 111 de -rverv-e44452'149•de 2014.

COMPANHIA DE PROCESSAMEN O E DADOS DO ESTADO DE SÃO PAULO -PRODESP

\ A

G A SO IADOS, ONULTORES L DA. EPP N po ikijro i2A R..UN 6-1 41-.6

TESTEMUNHAS:


INTERNET: www.prodesp.sp.qov.br - prodespaprodesp.so.qov.br

e PRODESP


ANEXO III

Tabela de Referência de Sistem itáveis


INTERNET: www.prodesp.sp.gov.br - prodespeorodesp.sp.00v.br

Bebia Alta

-Alta • Alta Alta

166,081 1.203.coo 250550 4,123.553,

Média • 41 176 Alta Salas Média 144.402 Mista Baixa 131.218 Baixa Baixa 28.630 Baixa Balsa_ 29.032 Baixa Baixa 101.917 Baixa Baixa 54.486 ' Baixa Baixa 131.21B Baixa Baixe 469,983 „ Baixa Alta BCCO.000 Mista

Baixa 25.373 Alta , Alta 2.403.003 Mista Alta 150.0O3 Mista

Media_ Nlé,di.! • .291-084 Média 0495

Alta 511.222 Baixa 9,643 Baixa 64.410 Baixa 312.134 Baixa , 12356 Média 36.0O3

Alta • 315,364 Alta 457.219

• . Alta 29.138 Alta. , 474.671

Média 10304

Alta Média Média BINO ,

Baixa Baixa

. Mé4ii, Média Media Baixa

.

!..

500.0:0 , 41.216 , -

319.290 ,.. E 32.002

18.000 _ 27000 145.770 _ 117.117

_ 41.308 . . .....1.330.104

80000

.

Mista Mista Alta Alta Alt

Baixa,,

Mista

Mista Baixa

• Alta . . Alta

. Alta Alta

Mista Alta Alta

Mista Mista Mista , Alta

Mista Baixa , Baixa Baixa Baixa Baixa Baixa _ Baixa Baixa Baixa

DGli Micr' osoit SQL 2008 Babe Baixa . ,. DGH ADABAS DGH Microsoft SQL 2008 USE SQL , . . . SOE . . ..„, . „. „.

Adabas ,., , „.. , coaol/ acs .......Al.0.:..„ ,. ,.........„„.... WH Microsoft SQL 2058 .NET Baixa 29138 Baixa

.. .. ..... , OGH Microsoft SQL

SGE ... Adabas

IBM Lotus N otes (fava scrIpt, html, lotas , LAN Microsoft SQL 2008 script, lotes fOrmula) • E. , , Baixa,_ • _ Baixa DGH Microsoft SQL 2008 lAVA/Websphere Baixa 53003. Baixa

. . . . , . ......, , .,., . .._ , .. ,._ , _ _ ,

—

COBOL/ NAIURAL Baixa 727244 Baixa , , .. . .NET Bania 10053 Baixo . . . .. _ . .. _ .NET Baixa Baixa .. . . .. ...

,

MN,b.'Phg.t • ! SO.T . COBOL/ C1CS Baixa 48 Alta


Anexo — III da Minuta de Contrato - Tabela de Referência de Sistemas Auditáveis

Tabelado ReferêndadeSlstemasduditdoel

plagraWgrm eonntleild4 ri h de d41. -A l" ta Sai iao ilta, média e1t4 Folha de Pagamento da Administraçáo Canhonada • Web-Demonstrativo

Folha de Pagamento da Administração Centralizada • Web-Portal Folhedo Pagamento da Administra. ção Centralitada • PAP (Cadastros Folha)

Folha de Pagamento da AdministraçâoCentrai0ada - PAG Folha de Pagamento da Administração centralizada- Plant6es Médicos tem desadvaçãO) •

Folha de Pagamento do Prêmio de Incentivo - VIR Folha de Pagamento do Prémio de Incentivo • PIN Avalíaçáo

. Sistema de Consignação em Folha PZA ARQUIVAMENTO 21 INSTANCIA

Coleta Biométrica INTINFO Podai

Rede Executiva . . . . . SIMESC SIVEC

Ambiente...Internet e Integração Siafern/Siafisico Arrecadação das DRs é ITC MO • 9)-IA . . „ „

Bolsa EletrBnica de Compras Cad.inadimplentes do Estado • Cadln • • Cad.inadimplentes do Estado - [adio

, Cadastro de Contribuintes do 1CMS DOA CADIN DHE

Conta Fiscal do ICIMS CRIA

DIVIDA ATIVA - DHE - 1511F Dívida Anca balda - DSEC

DNIda Ativa onlinb OHE- Dlif DNIda Ativa offline

iPuÃ: Multas DAI

Multai cobrança e arrecadação Opção 12 OMINE

Parcelamento de dablrol não Insultos dri ICMS P10- ORE RENAINt • . .

SIAFEWSIAFISICO WEB GSNET- Compras

GSNET Suprimenins CDHU/ORCAMEN'TO

Renda Ociad5

Sistema de Gestão de Flagrantes- SGF Potestade Pagamentode Advogados SPA •

• • Sistema de Pagamento de Peritos- SPP Sistemas DMda Ativa (SOA, PPI, PEP, Sito do Contribuinte)

BPP - Banco do Povo Paulista

. Controle de Afastamentos . Programa Estadual de 1011Áiffração Profissional IPEQ). • • " "

Sistema Cadastr.ocle.UnidadeS Habitacionais : ECO . . . Sistema de Gerenclamento do Cadastro de Empresas. GCE

S(stema de Gerandamento •do Cadastro de Empresas - GCE Net Sistema de Sorteio ElatrimIco_

Sistema finance. lio da Habltaçé0 • . • Sistema lilteg ado de licenciamento- SIL

Via Rápida Empírego • • Sistema Cadastro de Unidades Habitacionais- ECO

dna Unge nt•-, . , . • DVP SQL-200t3 . • ASP /VB6 • , DVP APARAS /ORACLE Cobol lisos/Natural Ides DVP • ASARAS • Cobol / Natural /Cies DVP ADUBAS Adabas .. .. ..... . .. . . _ . DVP DVP ADABAS Cobol .. DVP Dbate ... ci!PP.'!„ .., .. ,. DVP A. DABAS/ SQL Cobol / lava / A SP / Natural DGP Mivrosoft SQL Server 20Se R2 • Cif „(plataf Arma MIcroSoft .Net) DGP IBM -1392 lava - IBM We bsph are /MS Dot Net Ce DGP IBM • 882 • lava - IBM Websphare DGP Mivrosoft SOTServer 2001 R2 CK (Plataforma Microsoft .Net). . . DGP MIvrosoft SQL Server 200382 • Ca (Plataforma Microsoft .NeO • • DGP Mivrosoft SQL Server 2035 . CO (Plataforma Microsoft .N e t) DGP IBM - 1582 • Java •, iam Websphere • . , , ..... . FZA Adabas 8.2.2 ,Natural, Cobol

'

MS. SQL 2038 Cf/(Plataforma Microsoft .Neg,

Oracle lig CPIPlatalorma MIcrosoft,.Nal,_

ADABAS Cobol, Natural

ADAGAS Cobol Natural - !" . , .. . ADABAS . Cobol (ADASQL)

'

RA SQL Servas 2008e Adabas .NET. , lava, Natural e Cobol FZA SQL Server 2COBSP3 ASP 3, Javascriptdvery e T-SQL

ADABAS

Cobol lADASQL1, Natural FZA ADABAS Cobol, Natural

ADABAS , Natural, XM( FZA ADUBAS Cobol, Natural

e-sai, lava, coar” (ADASQl), NA7uRAL (Cadastro (ORE)

IDA

SQL SER VER e ADUBAS

Pagamento (DM) FZA ADAGAS Cobol Natural F2A

ADUBAS

Cobol, Natural FIA SQL SER VER e ADABAS E-SQL, JAVA, COBOL IDA

Sybase, Adabas lava, Cobol e Natural FZA ADUBAS Cobol (ADASQL), Natural IDA AMBAS

Cobol, Natural .

Attach mate Verastrean Ho st Integrator 09(platatorrnatkerosoft .Net) V4

(pi ataforma Microsoft .Net) V4 , (plataforma Microsoft. Net)

.Net O/Framework 1.1 ,Net 01 Freineviorli 1,1 •

BOA Oracle 11g

531 • Orada leg

sSi Oracle 101/ SE . . .

DGD Afcrosoft 591 Serve r 2035

()GD Microsoft Sql Server 2005,

DGD DB2 8.0 - Balira Plataforma • • CGD • P820- Baixa Plataforma •

DGD DB2 8.0- Baixa Plataforma

DOS Oracle llg

DGR Microsoft SQL 2098

lava lava

JAVALWetphere

Sistema de Sorteio Eletrônico

PRODESP Tecnologia da Informação

ANEXO IV

ORDEM DE SERVIÇO

SISTEMA A AUDITAR:

CONTRATADA:

CONTRATO N°:

Qtd. de Complexidade Plataforma Linhas de

Código

Data - Início

Valor da Observç6es OS

Data Final

Na da OS



1.1 YAZAKI


ANEXO V

TERMO DE CIÊNCIA E DE NOTIFICAÇÃO TRIBUNAL DE CONTAS DO ESTADO DE SÃO PAULO

Órgão ou Entidade: COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP

Contrato n°: PRO.00.6685 Objeto: CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE APOIO TÉCNICO

ESPECIALIZADO EM AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO.

Contratante: COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP

Contratado: GALEGALE & ASSOCIADOS, CONSULTORES LTDA. EPP

Na qualidade de Contratante e Contratado, respectivamente, do Termo acima identificado, e, cientes do seu encaminhamento ao TRIBUNAL DE CONTAS DO ESTADO, para fins de instrução e julgamento, damo-nos por CIENTES e NOTIFICADOS para acompanhar todos os atos da tramitação processual, até julgamento final e sua publicação e, se for o caso e de nosso interesse, para, nos prazos e nas formas legais e regimentais, exercer o direito da defesa, interpor recursos e o mais que couber.

Outrossim, declaramos estar cientes, doravante, de que todos os despachos e decisões que vierem a ser tomados, relativamente ao aludido processo, serão publicados no Diário Oficial do Estado, Caderno do Poder Legislativo, parte do Tribunal de Contas do Estado de São Paulo, de conformidade com o artigo 90 da Lei Complementar n° 709, de 14 de janeiro de 1993, iniciando-se, a partir de então, a contagem dos prazos processuais.

Taboão da Serra, .1 de de 2014.

RNANDO Diret Diretor-Presidente

COMPANHIA DE PR CESSAMENTO DE DADOS DO ESTA DE SÃO PAULO - PROD SP

G L G Â LE & ASSOCIADOS, CONSULTORES L DA. EPP_

Po Le Jt):2-); Crx L6 14L. ota: Modelo definido pelo TCESP - Resolução 08/2004, que deverá ser assinado por ocasião da celebração do

contrato e demais aditivo/modificativo ao contrato original.

1/1 Rua Agueda Gonçalves, 240 - Taba() da Serra - SP - CEP 06760-900 - TELEFONE: (11) 2845.6000 (PABX)

INTERNET: www.prodesp.sp.pov.br - prodespprodesp.sp.qov.br

CONTRATADA

TESTEMUNHAS:


INTERNET: www.prodesq.sP.gov.br - prodespaprodesp.sp.pov.br

• PRODESP


ANEXO VI- MODELO

TERMO DE ENCERRAMENTO E OUTRAS AVENÇAS AO CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE APOIO TÉCNICO ESPECIALIZADO EM AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO QUE FAZEM A COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO — PRODESP E A

PRO.00.MINUTA

Pelo presente termo, de um lado, a COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP, com sede no município de Taboão da Serra, estado de São Paulo, na Rua Agueda Gonçalves n.° 240, inscrita no CNPJ/MF sob n.° 62.577.929/0001-35, doravante denominada simplesmente PRODESP e, de outro lado, a empresa , COM município de , estado de , na Rua/Av , inscri no CN /MF. sob n.° , doravante designada simplesmente CONTRAT repres ato por seus representantes legais ao final designados e assinados, res ar o co tação de serviços de apoio técnico especializado em auditori segur mação - PRO.00.MINUTA, mediante a seguinte cláusul- -. .içoe

1.1. As part de rigações eventualmente

re

1.2. E encionado no item 1.1. acima, as partes dão-se plena, el e irretratável quitação dos serviços e valores referentes ao

UTA, para nada mais reclamar a qualquer título.

justas e contratadas, assinam o presente termo em 2 (duas) vias de igual teor e forma, ça de 2 (duas) testemunhas.

Taboão da Serra, de de 20XX.

COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DE SÃO PAULO - PRODESP

prodesp · prodesp pro.00.6685 tecnologia da informação 3.9. obedecer na execução e...

Documents