requisiÇÃo de proposta 2014/059 requisiÇÃo de … · parceria com as gerência de sistemas...

REQUISIÇÃO DE PROPOSTA 2014/059

REQUISIÇÃO DE PROPOSTA – RFP PARA A CONTRATAÇÃO DE EMPRESA

PRESTADORA DE SERVIÇO ESPECIALIZADO NO FORNECIMENTO DE SOFTWARE E

SERVIÇOS PARA PRODUÇÃO DE CARTÕES, COM BANDEIRA PRÓPRIA, NO PADRÃO

EMV (Europay, MasterCard e Visa).

Esta Requisição de Proposta foi elaborada pela Gerência de Produtos e Serviços – GEPSE em

parceria com as Gerência de Sistemas (GESIS) e Gerência de Infraestrutura Tecnológica

(GERIT) da Cartão BRB S/A. Tem como objetivo expor aos interessados informações e

especificações dos produtos e serviços a serem contratados, descrevendo detalhadamente

as funcionalidades e requisitos necessários e, assim, servir de base para a apresentação de

propostas.

1. DA EMPRESA

A Cartão BRB carrega no seu DNA o orgulho de ser uma empresa genuinamente brasiliense.

A empresa administra os cartões de crédito do Banco de Brasília desde 1997 e valoriza a

regionalidade, entregando aos seus clientes cartões com o leiaute dos principais

monumentos da Capital Federal, reafirmando sua posição e compromisso com o cidadão de

Brasília.

Atenta às necessidades dos clientes e do mercado, a Cartão BRB atua com um portfólio

diversificado de produtos para os mais variados interesses e segmentos, que inclui cartões

de crédito, débito, pré-pago, múltiplos e private labels, somando cerca de 200 mil cartões

ativos. Tendo como foco os interesses dos clientes, a empresa está em constante adaptação

e pesquisa para o lançamento de novos produtos e serviços.

A Companhia tem por objetivo social exercer ou participar de Companhias que exerçam as

seguintes atividades, dentre outras:

I - desenvolvimento e prestação de serviços de:

a) administração e de processamento de transações de pagamento, aporte, transferência e

saque de recursos de contas de pagamento, pré ou pós-pagas, em moeda nacional ou

estrangeira, realizadas mediante a utilização de instrumentos de pagamento;

b) gestão de contas de pagamento pré ou pós-pagas;

c) emissão de instrumentos de pagamento;

d) conversão de moeda física ou escritural em moeda eletrônica, ou vice-versa, credenciar a

sua aceitação e gerir o uso de moeda eletrônica;

e) habilitação de recebedores para a aceitação dos instrumentos de pagamento;

f) administração dos pagamentos e recebimentos da rede de habilitados por meio da

captura, transmissão, processamento de dados, autorização e liquidação das transações

oriundas do uso dos instrumentos de pagamento, bem como a manutenção dos

agendamentos de tais valores em sistemas eletrônicos;

g) fornecimento, aluguel, instalação e manutenção de terminais eletrônicos ou outras

soluções adequadas para a captura, transmissão e processamento de dados referentes às

transações decorrentes do uso dos instrumentos de pagamento;

h) modalidade de contact center, SAC, central de atendimento e ouvidoria, através de

atendimento e teleatendimento ativo e receptivo, nas formas humana e eletrônica com

integrações CTI – Computer Telephony Integration;

i) instituição e administração de arranjos de pagamento de qualquer natureza,

especialmente relativos às atividades de refeição-convênio, alimentação-convênio, frota,

vale-transporte e outros.

2. DO OBJETO

Contratação de empresa para prestação de serviço especializado no fornecimento de

software para gerenciamento de chaves criptográficas RSA1 da Bandeira BRB e

preparação de templates para uso no CHIP alem de serviços para a produção de cartões no padrão EMV

2.

3. DA JUSTIFICATIVA.

A Cartão BRB, aderente à estratégia de expansão de seus negócios, decide adotar o modelo

de emissão dos cartões alimentação e refeição com a marca “Cartão BRB” como bandeira

própria, assim, se faz necessária a produção/aquisição de cartões com chip no padrão pré-

estabelecido no mercado, denominado EMV.

4. DO PLANO DE NEGÓCIO

Nos seis primeiros meses, como forma de certificar a qualidade e aderência do produto ao

mercado, a Cartão BRB fornecerá o cartão somente aos seus 150 colaboradores, estimando,

por mês, 300 cartões. Estima-se que a média mensal de movimentação é de 10 transações

por cartão.

Considerando o público detalhado acima e o faturamento previsto nos seis primeiros meses

do novo negócio, estima-se necessária a habilitação de uma rede de pelo menos 100

estabelecimentos fornecedores de alimentação e refeição (restaurantes, supermercados e

afins) em um período máximo de três meses.

A partir do sétimo mês, pretende-se aumentar o número de cartões fornecidos ao mercado

a partir da expansão para outras empresas do conglomerado BRB, incrementando, assim,

em 3000 novos clientes/portadores.

5. DOS SERVIÇOS QUE SERÃO PRESTADOS PELA CONTRATADA

A Empresa contratada deverá prestar serviço especializado no fornecimento

de software para gerenciamento de chaves criptográficas RSA da Bandeira

Cartão BRB e preparação de templates para uso no CHIP, além de serviços

para a produção de cartões no padrão EMV.

1 O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda

mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. 2 EMV, Padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito, hoje é o padrão de facto utilizado pelas

principais bandeiras de cartão de crédito, débito e voucher no mundo.

http://pt.wikipedia.org/wiki/Chave_(criptografia)

http://pt.wikipedia.org/wiki/Chave_p%C3%BAblica

http://pt.wikipedia.org/wiki/Chave_privada

5.1 Aplicação do software no padrão EMV nos cartões de bandeira própria da

Cartão BRB.

A aplicação do software deve ser compatível com os padrões de cartões javacard, MULTOS

e/ou MULTOS step, independente do fornecedor do hardware (chip).

A contratada deverá prestar todo e qualquer tipo de suporte garantindo a conformidade

com a norma EMV.

5.2 Autoridade certificadora EMV completa.

A empresa deverá oferecer um pacote completo quanto ao gerenciamento de chaves RSA,

geração de certificado e, ainda, gestão do esquema da banderia própria Cartão BRB.

Assim, deverá ser garantida pela empresa contratada, a leitura do CHIP do cartão com

bandeira própria em todo e qualquer POS/PINPAD do mercado, cujos terminais estejam

preparados para trabalhar com padrão EMV.

5.3 Auxílio na preparação de dados e a geração do arquivo de embossing.

A empresa contratada deverá receber o arquivo (batch) no padrão tarja, transformar os

registros e, consequentemente, o arquivo para um layout de chip (após processamento no

HSM3), devendo esta interpretação (tarja para chip) ser processada junto à atual

3 HSM (hardware security module) é um dispositivo de computação física que guarda e gerencia chaves digitais para autenticação

fornecendo um processo de criptografia.

embossadora da contratante, sem que haja qualquer incremento no preço do plástico

atualmente pago.

5.4 Acordo do Sigilo e Confidencialidade

Deverão ser obedecidos às cláusulas do acordo do sigilo e confidencialidade, conforme

modelo ANEXO I.

5.5 Acordo de Nível de Serviço

O Contrato celebrado entre a Cartão BRB e a CONTRATANTE deverá ser composto com o

modelo de Acordo de Nível de Serviço, conforme ANEXO II.

6. DA SEGURANÇA E CONTINGÊNCIA

6.1 A CONTRATADA deverá seguir as exigências de segurança e contingência previstas a

seguir:

6.1.1 Plano de contingência e outros mecanismos que garantam a continuidade dos

serviços prestados;

6.1.2 Mecanismos de proteção e segurança dos dados armazenados, processados ou

transmitidos;

6.1.3 Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais

de comunicação com vistas a reduzir a vulnerabilidade a ataques;

6.1.4 Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes,

sistemas, bases de dados e módulos de segurança;

6.1.5 Monitoramento das falhas na segurança dos dados e das reclamações dos usuários

finais a esse respeito;

6.1.6 Revisão das medidas de segurança e de sigilo de dados, especialmente depois da

ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

6.1.7 Elaboração de relatórios que indiquem procedimentos para correção de falhas

identificadas;

6.1.8 Realização de testes que assegurem a robustez e a efetividade das medidas de

segurança de dados adotadas;

6.1.9 Segregação de funções nos ambientes de tecnologia da informação destinados ao

desenvolvimento, teste e produção;

6.1.10 Identificação adequada do usuário final;

6.1.11 Mecanismos de autenticação dos usuários finais e de autorização das transações de

pagamento;

6.1.12 Processos para assegurar que todas as transações de pagamento possam ser

adequadamente rastreadas;

6.1.13 Mecanismos de monitoramento e de autorização das transações de pagamento, com

o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma

tempestiva;

6.1.14 Avaliações e filtros específicos para identificar transações consideradas de alto risco;

6.1.15 Notificação ao usuário final acerca de eventual não execução de uma transação; e

6.1.16 Mecanismos que permitam ao usuário final verificar se a transação foi executada

corretamente.

7. DA APRESENTAÇÃO DA PROPOSTA DE PREÇO

Apresentar quadro demonstrando os valores que serão cobrados para os serviços.

Serviços lite (não inclui serviços de autorização)

Volume cartões ativos Valores

Faixa Inicial Final Pacote Mensal Adicional por cartão

1 0 25.000 R$ 99999,99 R$ 99999,99

2 25.001 50.000 R$ 99999,99 R$ 99999,99

3 50.001 150.000 R$ 99999,99 R$ 99999,99

4 150.001 250.000 R$ 99999,99 R$ 99999,99

5 250.001 500.000 R$ 99999,99 R$ 99999,99

Serviços Valor único

Taxa global de setup do sistema nos datacenters da empresa contratada

R$ 99999,99

Custo de desenvolvimento de sistemas (no caso de necessidade quanto a

evolução do sistema )

Homem/Hora

Demonstrar sugestão de cronograma para implantação do projeto.

A proposta deverá conter, obrigatoriamente, a data de apresentação, o número do CNPJ da

empresa proponente e a referência à presente Requisição de Proposta.

Deverão estar computadas, no valor total da proposta apresentada, todas as despesas

referentes aos tributos, mão de obra, frete, embalagens e demais despesas incidentes

direta ou indiretamente no trâmite de fornecimento do produto.

A proposta apresentada deverá ter prazo de validade, no mínimo, de 30 dias.

8. DO CRITÉRIO DE JULGAMENTO DAS PROPOSTAS

Atendidas às disposições constantes no item 5, será considerada vencedora a proposta que

apresentar o MENOR VALOR GLOBAL dos serviços pontuados no item 7.

9. DA HABILITAÇÃO

9.1 Para habilitação nesta RFP será exigida, obrigatoriedade, regularidade fiscal nos

documentos constantes abaixo juntamente com a proposta comercial:

9.1.1 Comprovante de Inscrição e de Situação Cadastral do CNPJ junto à Receita Federal;

9.1.2 Certidão Negativa de Débitos à Dívida Ativa expedida pela Secretaria de Estado de

Fazenda do Distrito Federal;

9.1.3 Certidão Conjunta Negativa de Débitos Relativos a Tributos Federais e à Dívida Ativa

da União, junto à Receita Federal;

9.1.4 Certidão Negativa de Débitos - CND do INSS;

9.1.5 Certidão de Regularidade do FGTS emitida pela Caixa Econômica Federal; e

9.1.6 Certidão de Débitos Trabalhista junto ao TST.

9.2 Em momento posterior, será solicitado para a empresa vencedora o Estatuto Social da

empresa ou Contrato Social e identidade do representante legal, para formalização do

Contrato.

10. DAS DISPOSIÇÕES GERAIS.

10.1 A proposta, seus anexos e outras informações que a empresa participante julgar

necessárias transmitir juntamente com a proposta, deverão ser inseridos no Portal de

Compras e Contratações através do site da Cartão BRB (cartaobrb.com.br), link Compras e

Contratação, de forma consolidada com as documentações exigidas no item 8 desta

Requisição de Proposta;

10.2 Informações complementares, julgadas necessárias pelo fornecedor para elaboração

da proposta, poderão ser obtidas por meio de contato telefônico com a Cartão BRB, através

dos telefones (61) 3966-5425, referente a dúvidas sobre os serviços a serem prestados e o

telefone (61) 3051-5500 referente a dúvidas técnicas sobre o(s) sistema(s), das 9h às 12h

e das 14h às 17h em dias úteis e enquanto essa RFP estiver dentro do prazo de publicação;

10.3 A presente Requisição de Proposta é regida pela lei civil e de natureza privada;

10.4 A apresentação de proposta significará que a empresa fornecedora tomou

conhecimento de todas as informações e aceites das condições desta Requisição de

Proposta;

10.5 O simples envio de proposta por parte da empresa fornecedora não dá garantia de

assinatura de contrato junto à Cartão BRB para a aquisição objeto desta Requisição de

Proposta;

10.6 Nenhum custo decorrente da simples apresentação de proposta será coberto pela Cartão BRB.

Ivo Augusto Devós Alves Daniel Freitas Silva

Gerente de Produtos e Serviços Gerente de Sistemas

GEPSE GESIS

Marcelo José Lazary da Fonseca

Gerente de Infraestrutura Tecnológica

GERIT

ANEXO I

Acordo de Sigilo de Confidencialidade

A CONTRATADA obriga-se por si ou por qualquer pessoa a ela ligada, seja por seus

administradores, empregados, prepostos e comitentes, a qualquer título, a manter sigilo e

confidencialidade sobre quaisquer informações, dados cadastrais, documentos ou dados

técnicos fornecidos/mantidos pela CARTÃO BRB, susceptíveis ou não de proteção legal, a que

tiver acesso, seja em virtude da presente contratação a que tenha acesso, como em virtude

da permanência nas instalações da CARTÃO BRB, comprometendo-se a não utilizá-las em

proveito próprio ou de terceiros em geral, agindo em observância aos ditames do artigo 5º,

inciso X e XII da Constituição Federal, das Leis nº. 8.666/93, 9.279/96, 8.884/84 e LC nº.

105/2011, sob pena de responder, inclusive, por perdas e danos a que der causa, nos termos

do art. 408 e seguintes do Código Civil.

Parágrafo Primeiro: Somente os empregados da CONTRATADA diretamente envolvidos com

os trabalhos e atividades decorrentes do desenvolvimento do objeto deste contrato poderão

ter acesso às informações confidenciais, devendo ser informados de sua natureza sigilosa,

obrigando-se a CONTRATADA, de per si, a diligenciar e orientar para que tais empregados

observem os termos e condições aqui estabelecidos.

Parágrafo Segundo: Compromete-se a CONTRATADA a não reproduzir documentos ou outros

materiais que contenham informações confidenciais, exceto e conforme necessário para

cumprimento das obrigações assumidas para o desenvolvimento da prestação de serviços

contratada.

Parágrafo Terceiro: A obrigação de sigilo e confidencialidade subsistirá pelo período de 5

(cinco) anos contados da data do término ou rescisão do presente Contrato.

Parágrafo Quarto: Não estão inseridos na obrigação de sigilo e confidencialidade os dados e

informações públicos e notórios, bem como nos casos em que a entrega das informações se

dê por exigência de órgãos competentes ou por determinação judicial, desde que a CARTÃO

BRB tenha sido notificada previamente à liberação da informação e tenha sido requerido

segredo de justiça no seu trato administrativo e/ou judicial.

As obrigações contidas no presente instrumento não se aplicarão a qualquer das Informações

Confidenciais divulgadas pela parte reveladora, as quais a parte receptora consiga provar

que:

I. Encontram-se disponíveis ao público em geral ou tornaram-se, após a sua divulgação,

parte do domínio público através de publicação ou por outro meio qualquer, sem ter

havido culpa da Parte Receptora;

II. Já eram comprovadamente do conhecimento da parte receptora, antes de sua

divulgação, e não foram adquiridas, diretas ou indiretamente, da Parte Reveladora;

III. Foram, após sua divulgação, adquiridas de boa-fé, sem qualquer restrição de

confidencialidade, de terceiro que não se encontra obrigado a nenhum termo de

confidencialidade para com a Parte Reveladora;

IV. Não são mais tratadas como confidenciais pela Parte Reveladora.

Caso a CONTRATADA infrinja, ou ameace infringir, alguma das cláusulas de confidencialidade

aqui expressas, arcará com multa equivalente a 40% (quarenta por cento) do valor do

contrato informado na Cláusula XXXXXX, em virtude de dolo ou culpa, inclusive por atos de

seus funcionários, prepostos ou terceiros que obtiveram as informações ou documentos e,

ainda, as perdas incorridas em razão do uso indevido das informações e documentos, que

serão apuradas em processo próprio.

Parágrafo único: A presente cláusula subsistirá à rescisão ou ao término do Contrato,

independentemente do motivo de tal rescisão ou término.

ANEXO II

Acordo de Nível de Serviço

Este Acordo de Nível de Serviço (ANS) estabelece os níveis de suporte técnico,

disponibilidade e limitações de rede, além das responsabilidades da contratada inerentes ao

contrato.

1. Suporte Técnico

O suporte técnico estará disponível 24 horas/dia, 365 dias/ano.

2. Disponibilidade

A contratada deve assegurar disponibilidade mensal de 98% para os serviços de preparação

de dados, aplicação de autoridade certificadora, aplicação do cartão e autorização de

transações EMV, excluídos os períodos de inatividade planejada e de emergência.

3. Comunicação

Os incidentes de suporte serão abertos pela contratante através de interface de chamados

web. Outras formas de contato podem ser realizadas via contato telefônico (número

previamente disponibilizado para tal fim), entretanto o chamado sempre deve ser registrado

na interface de chamados web.

4. Classificação de incidentes e tempos de resposta

A contratada classificará os incidentes de acordo com os itens a seguir:

Prioridade Alta: incidentes que interrompem as atividades essenciais da contratante.

Prevê a estabilização do incidente em até 04 (quatro) horas a partir do momento da sua

classificação.

Prioridade Média: são aqueles que interrompem as operações essenciais da contratante,

mas possuem solução de contorno. Prevê a estabilização do incidente em até 12 (doze)

horas úteis a partir do momento da sua classificação.

Prioridade Baixa: são incidentes que não interrompem as operações essenciais da

contratante. Prevê a estabilização do incidente em até 24 (vinte e quatro) horas úteis a

partir do momento da sua classificação.

5. Classificação por tipos de suporte

5.1 Suporte para o serviço de preparação de dados:

A contratada terá 01 (uma) hora para classificação do incidente e reagirá de acordo com a

seguinte classificação:

5.1.1 Prioridade Alta:

Não funcionamento geral da aplicação;

Falha de comunicação com o serviço principal e o de contingência;

Arquivo de saída não processável pelo bureau de serviços;

Quebra no software durante o processamento do arquivo de embossing;

Erros na configuração padrão do ambiente que impeçam o

processamento de mais de 50% dos arquivos de embossing;

Falha que impeça a geração de arquivo de saída mesmo em caso de

sucesso no processamento.

5.1.2 Prioridade Média:

Falha de comunicação com o hardware criptográfico principal;

Lentidão no processamento dos arquivos de embossing;

Falha na interpretação das configurações pré-estabelecidas da

nomenclatura dos arquivos de embossing em ambiente de produção;

Falha no processamento do qualquer parte do arquivo de embossing

(Cabeçalho, Registro, Final) gerado de forma errada pelo software da

CLIENTE;

Falha na geração do arquivo de log.

5.1.3 Prioridade Baixa:

Consultas técnicas;

Pedido de documentação;

Erros ortográficos nas mensagens de erro;

Warnings apontados no arquivo de log.

5.2 Serviços de suporte para o uso da aplicação de autoridade certificadora:




Falha no acesso à aplicação;

Falha na geração de Chave Raiz;

Falha na geração de Certificados do Emissor;

Dados públicos da Chave Raiz gerados de forma incorreta;

Certificados do emissor gerados de forma incorreta.


Queda na aplicação responsável pelo processamento de requisições;

Falha na recuperação dos dados públicos da chave raiz;

Falha na recuperação dos dados do certificado do emissor;

Falha na configuração dos atores do sistema.




Erros ortográficos na interface;

Falha no monitoramento automático dos recursos (HSM, Banco de dados

e Processador de Requisições);

Erros de comportamento da interface;

Falhas encontradas na trilha de auditoria.

5.3 Serviços de suporte para o uso da aplicação do cartão




Não funcionamento do cartão da contratante em terminais EMV com certificação

EMV nível 2 comprovada pelo órgão EMVCo.


Não aceitação do cartão da contratante em novos terminais com certificação EMV

nível 2 fora do território nacional.



Pedido de documentação.

5.4 Suporte para uso do serviço de autorização de transações EMV

A contratada terá 30 (trinta) minutos para classificação do incidente e reagirá de acordo

com a seguinte classificação:


Não funcionamento geral da aplicação;

Falha de comunicação com o serviço principal e o de contingência;

Interrupção contínua de autorizações por mais de 15 (quinze) minutos.


Falha de comunicação com o serviço principal;

Lentidão no processamento das autorizações das transações.




Erros ortográficos nas mensagens de erro;

Warnings apontados no arquivo de log.

Obs: A contratante será notificada com pelo menos 24 (vinte e quatro) horas de

antecedência sobre atualizações de rotina que sejam realizadas fora da Janela de

Atualização de Rotina.

6. Exceções

Os seguintes itens não devem ser considerados em nenhum cálculo de disponibilidade sob

este ANS:

(i) circunstâncias além do controle razoável da contratada, incluindo, sem limitação, atos

de qualquer órgão governamental, guerra, insurreição, sabotagem, embargo, incêndio,

inundação, greve ou outros distúrbios trabalhistas, interrupção ou atraso de transporte,

indisponibilidade ou interrupção ou atraso nas telecomunicações ou serviços de

terceiros, falha de software de terceiro ou incapacidade de obter matéria prima,

suprimentos ou energia usados ou equipamentos necessários para os serviços;

(ii) impossibilidade de acesso aos serviços, salvo se tal falha for causada somente pela

contratada;

(iii) atualizações de rotina, demais manutenções programadas e manutenções de

emergência e atualizações;

(iv) ocorrências sobre domínio fora do controle direto da contratada;

(v) atos ou omissões da contratante, do usuário ou de outros, contratados ou autorizados

pela contratante, incluindo, sem limitação, qualquer negligência, dolo ou uso do serviço

de forma inadequada (conforme determinado pela contratada) ou de outra forma em

violação do presente contrato.

requisiÇÃo de proposta 2014/059 requisiÇÃo de … · parceria com as gerência de sistemas...

Documents