tribunal de contas da união€¦ · web viewas especificações de capacidade e desempenho para...

TRIBUNAL DE CONTAS DA UNIÃO TC 008.232/2010-5

GRUPO I – CLASSE VII – PlenárioTC 008.232/2010-5 Natureza: Denúncia,Entidade: Serviço Brasileiro de Apoio a Micro e Pequenas Empresa (Sebrae) – Departamento Nacional. Ministério do Desenvolvimento, Indústria e Comércio Exterior (MDIC) (vinculador). Responsável: Paulo Tarcisio Okamotto (CPF: 767.248.248-34), Diretor-Presidente do Sebrae Nacional. Interessado: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).Advogados constituídos nos autos: Guilherme Lopes Mair (OAB-SP 241.701); Carlos Augusto de Andrade Jeniêr (OAB-ES 10.270); Larissa Moreira Costa (OAB-DF 16.745); Sérgio Thiago Costa Carazza (OAB-DF 23.542).

SUMÁRIO: DENÚNCIA. CONCORRÊNCIA. REGISTRO DE PREÇO. SOLUÇÃO DE SEGURANÇA PARA INFRAESTUTURA DE TECNOLOGIA DA INFORMAÇÃO. CONHECIMENTO. INDÍCIOS DE IRREGULARIDADES. CLÁUSULAS EDITALÍCIAS RESTRITIVAS À COMPETITIVIDADE DO CERTAME. PROCEDÊNCIA. DETERMINAÇÃO PARA ADOÇÃO DAS MEDIDAS NECESSÁRIAS AO CUMPRIMENTO DO DISPOSTO NO ART. 49, CAPUT, IN FINE, DA LEI Nº 8.666/93. CIÊNCIA AOS INTERESSADOS. RETIRADA DA CHANCELA DE SIGILO. ARQUIVAMENTO.

RELATÓRIO

Trata-se de denúncia a respeito de possíveis irregularidades na Concorrência para Registro de Preços nº 3/2010 do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) Nacional (fls. 1/13). O certame é uma concorrência do tipo menor preço, nos termos do Regulamento de Licitações e Contratos (RLC) do Sistema Sebrae, cujo objeto é a aquisição de solução de segurança de sua infraestrutura de tecnologia da informação (fl. 2, anexo 2).

2. Em instrução de 29/3/2010 (fls. 14/25), a 5ª Secex analisou preliminarmente as alegações do denunciante de suposto direcionamento no certame e propôs conhecer da denúncia e determinar a oitiva prévia do Sebrae nos termos do art. 276, § 2º, do Regimento Interno do TCU. Transcrevo, a seguir, nos termos do art. 1º, § 3º, inciso I, da Lei nº 8.443/92, excerto da supracitada instrução, contendo as alegações do denunciante.

“Alegações do denunciante

Irregularidades no Edital de Concorrência 003/2010 e na Especificação do Objeto (Anexo I):

Quantitativo de serviços a serem prestados.

“(...) é uma prova irrefutável do direcionamento do certame de empresa específica, pois a luz do conhecimento técnico, não existe diferença na execução dos serviços dos itens 1.2, 1.3.2 e 1.4, sendo que a diferença está no porte (robustez) do equipamento e no volume de dados analisados, pois os

1


mesmos figuram como elementos de segurança de perímetro da rede de dados. Não obstante, para os itens 1.7, 1.8, 1.9, 1.10 e 1.11, que, por se tratarem de quantidade de licenças, não imprimem diferença alguma, a título de competência técnica, em se executar uma ou várias licenças, o que reforça sobremaneira o entendimento de que tais solicitações visam, de fato, a restrição considerável do número de empresas participantes” (fl.1, v.p).

Apresentação de declaração específica de que possui um centro de operação de segurança (SOC) .

“(...) em nosso entendimento, existe caráter restritivo e de direcionamento no fato da obrigatoriedade de se apresentar declaração específica de posse de um centro de operação de segurança, no ato do processo licitatório (item 7.13), uma vez que o Edital já possui prerrogativas que validem a capacidade da empresa vencedora na prestação dos serviços solicitados, a saber: itens 10.12 e 13.1 do Edital, que versam sobre a prova de conceito e Cláusula Décima Sétima – da Prestação de Garantia, presente na minuta do contrato. Sendo assim, tal declaração torna-se instrumento, não de garantia de prestação de serviço, mas tão somente de favorecimento, pois impedem que empresas com capacidade de implantarem um SOC, participarem do certame” (fl. 2, v.p).

A realização do download automático de listas de endereços IP maliciosos (atacantes) que foram detectados recentemente na internet pelo fabricante da solução, e utilizar esta informação como parte da correlação de eventos.

“Apenas a solução SYMANTEC atende ao descrito no edital” (fl. 2, v.p).

Emissão de declaração específica de que a solução ofertada contempla os serviços de laboratórios de pesquisa 24x7, que analisem sites, possuindo assim visão global para detecção de novas ameaças e vulnerabilidades, objetivando fornecer atualizações automáticas diárias para correlação dos eventos locais coletados.

“Apenas a solução SYMANTEC atende ao descrito no Edital, ferindo sobremaneira a concorrência sobre a solução ofertada. Além do fato de que fornecer atualizações automáticas diárias não é salutar em face de que falsos dispositivos poderiam causar indisponibilidade em todo o sistema, não sendo, portanto, prática comum dentre os fabricantes de soluções similares. Outra característica incomum é a de que nenhuma empresa poderá emitir tal declaração, pois esta tarefa é inerente ao fabricante da solução ofertada” (fl. 2, v.p).

As Microempresas e Empresas de Pequeno Porte, que desejarem obter benefícios da Lei Complementar n.º 123 de 14 de dezembro de 2006 e fizerem jus aos benefícios, deverão apresentar junto aos documentos de Proposta e Credenciamento “Envelope A” a declaração constante do Anexo II deste edital.

“O Edital, em suas especificações, em nenhum momento favorece a participação de Microempresas e Empresas de Pequeno Porte, quer seja de forma direta ou indireta. Tal fato pode ser observado, primeiramente, pela montagem da peça editalícia em lote único, através da avaliação do menor valor global. Com exceção dos itens 1.12, 1.13 e 1.14, que descrevem serviços, todos os demais itens são passíveis de serem caracterizados como itens independentes, pois não existem características técnicas que corroborem para a composição de lote único, pois representam elementos da rede de dados distintos, dentro da solução pretendida” (fl. 3, v.p).

Permitir o isolamento manual de arquivos selecionados, para área de quarentena, para serem enviados e vistoriados pelo centro de pesquisa do fabricante.

“Apenas a solução SYMANTEC atende ao descrito no Edital, ferindo sobremaneira a concorrência sobre a solução ofertada, através da composição de Lote Único” (fl. 4, v.p).

2


Irregularidades na Minuta de Contrato - Cláusula Quarta – das Obrigações da Contratada

Possuir nos quadros da empresa, pelo menos 02 (dois) profissionais detentores de certificação na solução ofertada, comprovando mediante a apresentação da certificação emitida pelo fabricante e cópia da carteira de trabalho ou contrato de prestação de serviços;

Possuir em sua equipe técnica pelo menos 01 (uma) pessoa com certificação Certified Information Systems Security Professional (CISSP), devendo a comprovação ser efetuada através de cópia de certificado e da carteira de trabalho (ou contrato social, no caso de sócio);

Possuir em sua equipe técnica pelo menos 01 PMP (Project Management Professional) do PMI (Project Management Institute), devendo a comprovação ser efetuada por intermédio de cópia de certificado e da carteira de trabalho (ou contrato social, no caso de sócio);

“É notório e explícito o ato de se esconder características vitais para a seleção da proposta mais vantajosa inserindo-as no objeto contratual a ser firmado posteriormente ao certame, tais elementos deveriam estar descritos no Anexo I deste Edital devido a sua relevância ao processo de julgamento. Não fosse isto fato suficiente, existe ainda o claro direcionamento quando as condições de vínculo empregatício, pois as alíneas “b” e “c” diferem da “a” no quesito “contrato social, no caso de sócio”. Qual seria o real motivo desta seleção? E por que da obrigatoriedade da certificação CISSP, sem ao menos dar abertura para as certificações de cunho nacional? A título de exemplo a MCSO - Modulo Certified Security Officer, que poderia ser mais efetiva, pois além de ter maior oferta no mercado, esta calcada na legislação brasileira e a CISSP na legislação americana (fl. 4, v.p)”.

Além das supostas irregularidades anteriormente tratadas, foi encaminhado para esta Secretaria Manifestação n.º 28154, da Ouvidoria deste Tribunal (fls. 10/13, v.p). A Manifestação trata de 4 (quatro) possíveis irregularidades constantes do edital de Concorrência n.º 03/2010, quais sejam:

Utilização indevida de modalidade da licitação Concorrência, técnica e preço, em detrimento da utilização do Pregão Eletrônico.

Consta da manifestação que o Sebrae Nacional está realizando uma licitação, na modalidade concorrência, para registro de preços, não obstante o objeto seja a contratação de serviços de solução de segurança da informação, trabalhos que são comumente contratados pela Administração e atendem a padrões e especificações usuais do mercado, enquadrando-se no conceito de bens e serviços comuns definido na Lei 10.520/2002, em seu art. 1º, parágrafo único: “Consideram-se bens e serviços comuns, para os fins e efeitos deste artigo, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado”.

Os serviços a serem contratados, relativos à atualização e expansão da solução de segurança da informação, são os seguintes:

a) Prevenção de intrusos de redes;b) Firewall interno;c) Firewall externo;d) Firewall de perímetro;e) Firewall de perímetro para agentes;f) Gerenciamento de Segurança;g) Correlacionamento de Eventos (Manager);h) Correlacionamento de Eventos (Server agent);i) Correlacionamento de Eventos (Client Agent);j) Segurança para endpoint, antispam e correios eletrônicos;k) Controle de conteúdo web;l) Serviços de manutenção;m) Serviços de monitoramento;

3


n) Suporte técnico.

Ausência de divisão do objeto a ser licitado em itens.

O objeto da licitação foi definido em um único item, qual seja, atualização e expansão da solução de segurança da informação, para o qual foram determinadas as divisões de equipamentos ou de serviços.

Dessa forma, consta da manifestação que a solução de informática a ser contratada poderia ser licitada em nove itens, já incluindo o suporte técnico, quais sejam:

a) Prevenção de Intrusos de rede;b) Firewalls;c) Correlacionamento de eventos;d) Segurança para endpoint, antispam e correio eletrônico;e) NAC;f) DLP;g) Controle de Conteúdo Web;h) Serviço de Manutenção;i) Serviços de Monitoramento.

Favorecimento de contratação mediante direcionamento do edital

Há informação na referida manifestação de que o edital possui indícios de direcionamento, uma vez que apenas um fabricante possui as características exigidas de funcionalidades nas seguintes soluções:

Fabricante Itens/Elementos do Edital

Juniper 1.1 a 1.5

Symantec 1.7 a 1.10

Websence 1.11

Além disso, ressalta que a capacidade técnica exigida nos itens/elementos 1.1 a 1.5 está além da capacidade necessária para o excelente funcionamento dessa solução no SEBRAE Nacional. Explica que órgãos públicos como SERPRO, Banco do Brasil e Caixa Econômica Federal não utilizam toda essa capacidade de interfaces que o edital do SEBRAE exige.

Sobre as especificações técnicas dos equipamentos exigidos no certame, denuncia o possível mau uso da verba pública, pois os equipamentos especificados não condizem com o tamanho do órgão, uma vez que as especificações estão indicando equipamentos muito maiores do que a necessidade do SEBRAE Nacional e suas unidades regionais.

Ressalta, ainda, que não há o princípio da economicidade nessa licitação, uma vez que está sendo tentada a aquisição de equipamentos muito maiores do que o necessário, pois equipamentos menores e mais baratos seriam tão eficazes quanto os equipamentos especificados.

Finaliza com a afirmação de que o edital está beneficiando a empresa ISH Tecnologia (www.ish.com.br).

Contratação de mão de obra terceirizada sem previsão de elementos para avaliar o resultado dos serviços prestados.

Consta da manifestação que o modelo definido para os serviços de manutenção vão de encontro à jurisprudência do TCU (item 1.12 - Serviços de Manutenção), uma vez que o edital determina que a contratada deverá disponibilizar equipe residente no Sebrae, suficiente para atender o escopo definido para manutenção e administração, durante oito horas por dia, cinco dias por

4


semana e no horário comercial, de 08h00min as 18h00min. Entretanto o projeto básico não apresenta metodologia de avaliação da qualidade dos serviços executados. Tal necessidade quase desaparece quando a prestação de serviço é mensurada pelo resultado, pois a contratada somente fará jus a pagamento caso atenda à demanda formulada em solicitação de serviço, independentemente do quantitativo de profissionais que venha a dispor para gerar o resultado desejado.”

3. Por meio da Decisão às fls. 29/30, de 6/4/2010, admiti o feito como denúncia e determinei a oitiva prévia do Sebrae, alertando os responsáveis pela Concorrência n° 3/2010, no âmbito do Sebrae Nacional, inclusive a autoridade designada pela sua homologação e assinatura do respectivo contrato, de que o pedido de medida cautelar seria reexaminado após a oitiva, e que a eventual consumação de irregularidades em consequência do prosseguimento dos atos decorrentes do certame, sujeitaria os respectivos agentes às sanções legais previstas na Lei nº 8.443/92.

4. De acordo com a documentação acostada aos autos, em reunião de 9/4/2010, a Comissão de Processo Seletivo do Sebrae decidiu suspender o julgamento das propostas de preços até a decisão definitiva do Tribunal (fl. 145).

5. Em 15/4/2010, o Sebrae apresentou sua manifestação (fls. 36/63). Em instrução de 4/5/2010 (fls. 146/157), a 5ª Secex analisou a documentação e encaminhou os autos à Sefti para emissão de parecer técnico conclusivo sobre os seguintes pontos (fls. 156/157):

“a) quanto ao atendimento e pertinência das justificativas aos itens ‘b’ e ‘h’ da oitiva, em especial, quanto à viabilidade da divisão do objeto licitado em itens, uma vez que podem existir soluções de segurança de fornecedores diferentes, mas que promovam a interligação, padronização e a interoperabilidade entre as unidades demandantes dos serviços e as soluções implantadas (itens 2.2.1.1 e 2.3.2 da instrução inicial);b) que analise se as exigências do edital quanto à capacidade dos equipamentos e especificações técnicas exigidas dos itens licitados são demasiadas em relação às necessidades do Sebrae Nacional, uma vez que poderiam existir equipamentos menos robustos e mais baratos, que atenderiam, plenamente, às necessidades do Sebrae, conforme as alegações da denunciante e as informações tratadas no item 2.3.3 da instrução inicial (fl. 17, v.p);c) quanto ao entendimento de que a apresentação, pelas licitantes, de declaração de SOC, conforme exigência do item 7.7 do edital de concorrência n.º 003/2010, restringiu o caráter competitivo da licitação, em função de impor, às licitantes, a realização de despesas desnecessárias e anteriores à própria celebração do contrato (item 2.2 desta instrução);d) que examine as informações prestadas pelo gestor e analise o entendimento de que as exigências dos itens 1.7.30, 1.7.31 e 1.10.1.5.7, do Anexo I, do edital 003/2010 não restringiram o caráter competitivo da licitação, em função de não serem exclusivas de um único fabricante;”

6. Em 16/6/2010, a empresa ISH Tecnologia Ltda., parte interessada nos autos (fl. 159), apresentou sua manifestação (fls. 163/170).

7. Em 6/7/2010, depois de verificar que ainda não existiam nos autos elementos suficientes para emitir parecer conclusivo sobre os itens “b” e “d” da solicitação da 5ª Secex (fls. 176/178), a Sefti solicitou informações adicionais ao Sebrae, com fulcro na delegação de competência prevista no art. 1º, inciso I, da Portaria MIN-RC nº 1/2007 (fls. 179/180).

8. Em 20/7/2010, o Sebrae apresentou suas respostas às informações solicitadas pela Sefti (fls. 1/41, anexo 4).

9. Transcrevo a seguir, nos termos do art. 1º, § 3º, inciso I, da Lei Orgânica do TCU, a minuciosa análise constante da instrução lavrada no âmbito da Secretaria de Fiscalização de Tecnologia da Informação (Sefti), de lavra do Sr. Auditor Federal de Controle Sylvio Xavier Júnior, que teve a concordância do gerente responsável e do titular da unidade técnica (fls. 207/219).

5


“Parecer da Sefti

Item a) Quanto à viabilidade da divisão do objeto licitado

10. A 5ª Secex solicitou o seguinte parecer da Sefti (fl. 156):

“a) quanto ao atendimento e pertinência das justificativas aos itens ‘b’ e ‘h’ da oitiva, em especial, quanto à viabilidade da divisão do objeto licitado em itens, uma vez que podem existir soluções de segurança de fornecedores diferentes, mas que promovam a interligação, padronização e a interoperabilidade entre as unidades demandantes dos serviços e as soluções implantadas (itens 2.2.1.1 e 2.3.2 da instrução inicial);”

11. No item “b” da oitiva, foi solicitada a manifestação do Sebrae sobre “os requisitos da contratação, limitando-se àqueles indispensáveis à execução do objeto pretendido” (fl. 31); e, no item “h”, quanto às justificativas para o não parcelamento do objeto (fl. 32).

12. Em síntese, tanto na manifestação para o item “b” (fls. 49/50) como na manifestação para o item “h” (fls. 55/56) da oitiva, o Sebrae procurou justificar a necessidade de adquirir uma solução única de segurança de tecnologia da informação (TI) e demonstrar a inviabilidade técnica e econômica do parcelamento do objeto.

13. Para melhor analisar o assunto, optou-se por dividir a manifestação do Sebrae em função dos argumentos apresentados.

Argumento 1 – O objeto consiste de uma solução única com diversos componentes interligados e interdependentes

14. Para o item “b” da oitiva, o Sebrae argumentou, quanto ao objeto, que “Trata-se de solução única, composta de vários itens, mas que estão fortemente interligados” (fl. 49).

15. Para o item “h” da oitiva, o Sebrae apresentou os seguintes argumentos (fl. 55):

“Por se tratar de solução integrada de segurança da informação, no qual hardware e software dependem de uma correta instalação e configuração para atender às necessidades de projeto, aliado ao fato que os diversos itens do projeto possuem conexão direta e são dependentes uns dos outros para formar a solução, a aquisição deve ser realizada em um ÚNICO LOTE, da qual fazem parte hardware, software e serviços.”

Análise da Sefti

16. Embora os componentes de software e hardware do objeto da licitação em questão (fls. 19/83, anexo 2) sejam complementares do ponto de vista da segurança da informação, não é possível afirmar que formam uma solução única, pois:

16.1. O fato de que diversos componentes possuem conexão direta e são dependentes tecnicamente uns dos outros não significa que isso é verdade para todos os componentes.

16.2. Existem componentes que não guardam relação de interdependência técnica, como firewalls (itens 1.2 a 1.5) e segurança para endpoint (item 1.10). Nas especificações do objeto, endpoint é o termo usado para designar as estações de trabalho e servidores de rede do Sebrae (item 1.10.1.3.1, fl. 61, anexo 2).

16.3. Alguns papéis distintos e independentes relacionados com segurança da informação estão distribuídos entre os diferentes componentes de software e hardware do objeto do certame em questão (fls. 19/83, anexo 2): prevenção de intrusos de rede ou IPS (Intrusion Prevention System), firewall de rede, correlacionamento de eventos, segurança de estação de trabalho ou de endpoint, segurança de correio eletrônico e controle de conteúdo web.

6


16.4. Não foi encontrado no mercado um único produto ou mesmo produtos diferentes de um mesmo fabricante que reúna todos os papéis desejados pelo Sebrae, conforme evidenciado na manifestação do Sebrae (fl. 41), na manifestação (fl. 164) e na proposta de preços (fl. 30, anexo 4) da empresa ISH Tecnologia e na proposta de preços da empresa NCT Informática (fl. 40, anexo 4).

16.5. A empresa ISH utilizou o termo soluções de segurança e classificou os fabricantes de acordo com a finalidade de seus produtos (fl. 164): firewalls, sistemas de prevenção de intrusões, gerenciamento de segurança, correlação de eventos, antivírus e filtro de conteúdo web.

Conclusão 1

17. O objeto do certame em questão não é uma solução única, mas um conjunto de soluções composto de produtos diversos de fabricantes diferentes, logo a realização de uma licitação com adjudicação global foi uma opção do Sebrae, não uma imposição técnica ou de mercado.

Argumento 2 – O parcelamento do objeto poderia causar inviabilidade técnica da solução por causa de problemas de compatibilidade

18. Para o item “b” da oitiva, o Sebrae apresentou os seguintes argumentos (fls. 49/50):

“A aquisição de apenas parte da solução implica em possíveis problemas de compatibilidade, podendo aumentar significativamente a complexidade de implementação e supervisão.[...]A aquisição de parte da solução não garante a segurança da rede privativa, e a separação dos itens não garante a compatibilidade da solução como um todo, uma vez que a interação entre as partes não são totalmente padronizadas.”


“Conforme pode ser visto no Anexo I da Concorrência 03/2010: Os itens 1.1 a 1.5 devem ser obrigatoriamente compatíveis com o item 1.6 para que possam ser administrados, monitorados e gerenciados de forma integrada; Os itens 1.7 a 1.9 compõem um único componente chamado de ‘Correlacionamento de Eventos’; e Os itens 1.1 a 1.11 devem ser todos compatíveis com o item 1.7 para que seus eventos possam ser coletados, interpretados e correlacionados visando a obtenção de uma visão centralizada da situação da segurança da informação em todo o SEBRAE e agilizando a identificação de incidentes de segurança reduzindo assim seu impacto na instituição.Consideramos que o parcelamento do objeto poderia incorrer na inviabilidade técnica da solução por não ser possível garantir a compatibilidade entre todos os componentes que a compõem.”

Análise da Sefti

20. Em síntese, o Sebrae afirmou que o parcelamento do objeto poderia causar a inviabilidade técnica da solução por causa de problemas de compatibilidade. Para comprovar sua afirmação, o Sebrae apresentou algumas necessidades de compatibilidade que serão analisadas a seguir.

Compatibilidade dos itens 1.1 a 1.5 com o item 1.6

21. O item 1.1 (fls. 19/23, anexo 2) é o sistema de prevenção de intrusos de rede ou IPS (Intrusion Prevention System), os itens 1.2 a 1.5 (fls. 23/48, anexo 2) são os firewalls e o item 1.6 (fls. 49/52, anexo 2) é o gerenciamento de segurança.

22. Os itens 1.1 a 1.5 devem ser compatíveis com o item 1.6 para permitir gerenciamento integrado dos IPS e dos firewalls. Ou seja, nesse caso, os itens 1.1 a 1.6 devem ser adquiridos em conjunto.

Os itens 1.7 a 1.9 formam um único componente

7


23. Os itens 1.7 a 1.9 (fls. 53/59, anexo 2) são componentes de uma solução de correlacionamento de eventos. Ou seja, nesse caso, esses itens devem ser adquiridos em conjunto.

Os itens 1.1 a 1.11 devem ser todos compatíveis com o item 1.7

24. Aqui, a necessidade de compatibilidade está invertida. Pode-se verificar nas especificações do objeto (fls. 54/55, anexo 2) que é o item 1.7 (gerenciador de correlacionamento de eventos) que deve ser compatível com todos os demais itens:

“1.7.3.2. COLETA, ANÁLISE E CORRELACIONAMENTO DE EVENTOS1.7.33. Deve possuir e ser fornecido com capacidade coleta, incluindo normalização, filtragem e agregação dos eventos, para, no mínimo, os ambientes listados a seguir:1.7.34. Firewalls Checkpoint, Cisco, Fortinet e Juniper Netscreen, sem o uso de agentes;1.7.35. Sistemas de IDS e IPS de rede e de host;1.7.36. Antivírus MCAfee, Symantec e Trend Micro;1.7.37. Microsoft Active Directory (AD);1.7.38. Microsoft Internet Information Services (IIS);1.7.39. Linux/Unix;1.7.40. Microsoft Internet Security and Acceleration Server (ISA) 2004;1.7.41. SQL Server;1.7.42. Oracle;1.7.43. Syslog genérico;1.7.44. Ferramentas de Auditoria de Políticas (Policy Compliance);1.7.45. Ferramentas de Gerência de Vulnerabilidades (Vulnerability Manager);1.7.46. Logs de Eventos de sistemas operacionais Microsoft Windows, Solaris, Linux, AIX;” (grifou-se).

25. Assim sendo, a solução de correlacionamento de eventos (itens 1.7 a 1.9 das especificações do objeto) deve ser capaz de receber e interpretar eventos gerados e enviados pelos demais componentes do objeto do certame em questão e também por outros componentes e ferramentas de TI provavelmente já existentes no ambiente do Sebrae Nacional. Além disso, observa-se que o Sebrae exigiu compatibilidade com diferentes sistemas de firewalls e antivírus de fabricantes diversos (itens 1.7.34 e 1.7.36), não somente com aqueles que serão fornecidos pela empresa contratada.

26. Ainda que não seja tecnicamente aceitável parcelar o objeto simplesmente em função dos seus diferentes componentes, deve-se parcelá-lo em função dos componentes que em conjunto exercem papéis semelhantes ou afins, agrupando-os para formar algumas soluções específicas. Assim, por exemplo, uma solução de segurança de rede (firewalls e IPS) seria formada pelos itens 1.1 a 1.6 (fls. 19/52, anexo 2) e uma solução de correlacionamento de eventos seria formada pelos itens 1.7 a 1.9 (fls. 53/59, anexo 2).

Conclusão 2

27. No caso de um possível parcelamento do objeto, alguns componentes (itens 1.1 a 1.6 e itens 1.7 a 1.9) devem ser adquiridos em conjunto por causa de necessidade de compatibilidade técnica entre eles (parágrafos 21/23).

28. Não são os itens 1.1 a 1.11 que devem ser compatíveis com o item 1.7, mas a solução de correlacionamento de eventos (itens 1.7 a 1.9) é que deve ser compatível com os outros componentes do objeto e também com outros componentes e ferramentas de TI provavelmente já existentes no ambiente do Sebrae Nacional, incluindo firewalls e antivírus de fabricantes diferentes (parágrafos 24/25).

8


29. Não é tecnicamente aceitável parcelar o objeto simplesmente em função dos seus diferentes componentes, mas deve-se parcelá-lo em função dos componentes que em conjunto exercem papéis semelhantes ou afins, agrupando-os para formar algumas soluções específicas (parágrafo 26).

Argumento 3 – A aquisição isolada das partes da solução poderia impossibilitar o seu gerenciamento em conjunto e o correlacionamento de eventos

30. Para o item “b” da oitiva, o Sebrae apresentou os seguintes argumentos (fl. 50):

“A aquisição isolada das partes da solução poderá ocasionar a impossibilidade do gerenciamento conjunto e correlação de eventos, ou o aumento considerável de custos e esforços da implementação e manutenção destas funcionalidades.Não existem padrões definidos de operação conjunta, gerência e correlação de eventos entre sistemas de Proteção (por exemplo, Firewall e antivírus), mas diferentes fabricantes fornecem soluções que podem operar conjuntamente e que ampliam significativamente os níveis de segurança e resultados obtidos. Sistemas de correlação de eventos também possuem características que os tornam mais aderentes a determinadas soluções.”


“Conforme pode ser visto no Anexo I da Concorrência 03/2010:[...] Os itens 1.1 a 1.11 devem ser todos compatíveis com o item 1.7 para que seus eventos possam ser coletados, interpretados e correlacionados visando a obtenção de uma visão centralizada da situação da segurança da informação em todo o SEBRAE e agilizando a identificação de incidentes de segurança reduzindo assim seu impacto na instituição.”

Análise da Sefti

32. O Sebrae argumentou que a aquisição isolada das partes poderia impossibilitar o gerenciamento conjunto e o correlacionamento de eventos porque não existem padrões definidos.

33. Entretanto, as especificações do edital exigem que o gerenciador de correlacionamento de eventos seja capaz de coletar, normalizar, filtrar e agregar eventos gerados por diversos produtos de fabricantes diferentes (item 1.7.32, fls. 54/55, anexo 2).

34. Além disso, pesquisa realizada pela Sefti em produtos de fabricantes citados pelo Sebrae (fl. 41) revelou que essa é uma característica das soluções de correlacionamento de eventos:

34.1. A Symantec considera crítica a capacidade de coletar dados gerados por dispositivos e aplicações de segurança já existentes. Seu produto, o Security Information Manager, utiliza cento e cinquenta fontes de dados e ainda fornece opções para customizar outras fontes adicionais (fl. 182).

34.2. A RSA declara que seu produto, o enVision, é capaz de coletar e analisar grande quantidade de dados em tempo real de qualquer fonte de eventos de ambientes computacionais de qualquer tamanho (fl. 185). O enVision possui uma extensa lista de fontes compatíveis de eventos (fls. 186/188) e a RSA ainda oferece uma ferramenta para ajudar seus clientes a criarem integração com fontes adicionais (fls. 185 e 189).

35. A ArcSight declara que seu produto, o Enterprise Security Manager (ESM), pode coletar dados de todo e qualquer sistema ou dispositivo em rede (fl. 190) e disponibiliza uma lista de mais de duzentos e setenta e cinco produtos comerciais compatíveis (fls. 191/192).

36. Assim sendo, pode-se afirmar que prover capacidade de lidar com eventos gerados por diversos componentes de um ambiente computacional (softwares, aplicações, dispositivos de

9


segurança, equipamentos de rede etc.) é uma preocupação dos fabricantes de soluções de correlacionamento de eventos.

Conclusão 3

37. Como a capacidade de lidar com eventos gerados por diversos componentes de um ambiente de tecnologia da informação pode ser considerada uma característica das soluções de correlacionamento de eventos, a aquisição isolada das diferentes soluções que compõem o objeto do certame em questão não impossibilita o seu gerenciamento em conjunto e nem o correlacionamento de eventos.

Argumento 4 – A aquisição conjunta visa garantir que a empresa contratada seja capaz de realizar os serviços de manutenção, monitoramento e suporte da solução


“Por isso a aquisição conjunta irá proporcionar ao integrador o fornecimento do conjunto de soluções que considerar mais adequado, com melhores resultados de automatização, redução dos custos de mão de obra para a manutenção da solução e garantia do seu funcionamento.”

39. Para o item “h” da oitiva, o Sebrae apresentou os seguintes argumentos (fls. 55/56):

“O não parcelamento do objeto visa:[...] Garantir que a empresa contratada seja capaz de realizar as atividades de manutenção, monitoramento e suporte da solução (vide itens 1.12, 1.13 e 1.14) tornando-se o ponto focal para assuntos operacionais da segurança da informação na instituição.”

Análise da Sefti

40. O Sebrae argumentou que a aquisição conjunta dos serviços visa garantir que a empresa contratada seja capaz de realizar os serviços de manutenção, monitoramento e suporte (itens 1.12 a 1.14 das especificações do objeto; fls. 84/89, anexo 2).

41. Por outro lado, entende-se que é viável adquirir os componentes de software e hardware do objeto do certame em questão em uma primeira licitação e contratar esses serviços depois em uma licitação posterior. Outra opção seria adquirir uma solução de correlacionamento de eventos junto com a contratação dos serviços de monitoramento e suporte.

42. Com ajuda de informações fornecidas pelo próprio Sebrae (fls. 41, 52 e 62), verificou-se que existem diferentes produtos de diversos fabricantes que podem atender as exigências técnicas do edital. Assim sendo, no caso do certame em questão, entende-se que as especificações do objeto são usuais no mercado de soluções de segurança da informação e que é possível encontrar empresas capazes de prestar os serviços de manutenção, monitoramento e suporte para componentes de software e hardware fornecidos por outras empresas.

Conclusão 4

43. Considerando que as especificações do objeto são usuais no mercado de soluções de segurança da informação, entende-se que é possível encontrar empresas capazes de prestar os serviços de manutenção, monitoramento e suporte para componentes de software e hardware fornecidos por outras empresas.

Argumento 5 – A aquisição conjunta é vantajosa economicamente


10


“Por isso a aquisição conjunta irá proporcionar ao integrador o fornecimento do conjunto de soluções que considerar mais adequado, com melhores resultados de automatização, redução dos custos de mão de obra para a manutenção da solução e garantia do seu funcionamento.”

45. Para o item “h” da oitiva, o Sebrae apresentou os seguintes argumentos (fls. 55/56):

“O não parcelamento do objeto visa:[...] Garantir a economia de escala permitindo ao fornecedor negociar melhores preços juntos ao(s) fabricantes uma vez que terá um volume maior de produtos a serem adquiridos; Otimizar a alocação de recursos humanos para atendimento aos serviços solicitados uma vez que um de seus colaboradores pode estar capacitado para trabalhar com diversos componentes da solução, consequentemente reduzindo os custos repassados ao SEBRAE. A contratação das soluções e serviços separadamente poderia incorrer num aumento do número de equipes e pessoas responsáveis pela solução, aumentado:

o A complexidade de gestão de contratos e de pessoas, de fornecedores distintos para objetos que necessitam alta integração;

o Os custos diretos repassados ao SEBRAE, visto que cada fornecedor teria sua própria equipe para atendimento ao escopo, incorrendo em salários, encargos sociais, benefícios, dentre outros;

o Os custos indiretos do SEBRAE como espaço físico, estações de trabalho, energia elétrica, dentre outros;”

Análise da Sefti

46. Quanto à possibilidade de vantagens em virtude de negociação junto aos fabricantes, não há diferença de ganho por economia de escala entre a contratação com adjudicação global e a contratação parcelada com adjudicação por itens, tendo em vista que não foi encontrado no mercado um único produto ou produtos diferentes de um mesmo fabricante que atendessem todas as especificações dos vários componentes do objeto do certame em questão (fls. 41 e 164, volume principal; e fls. 30 e 40, anexo 4).

47. Parcelando-se ou não o objeto, será necessário um conjunto de produtos (soluções) diferentes de fabricantes distintos para atender todas as exigências do edital. Assim sendo, nos dois casos, a negociação de preços com os fabricantes acontece em função dos diferentes produtos que atendem parte das especificações do objeto.

48. Quanto à alocação de recursos humanos, os argumentos apresentados pelo Sebrae também se aplicam no caso de parcelamento do objeto. Os componentes de software e hardware da solução poderiam ser adquiridos em uma licitação e os serviços de manutenção, suporte e monitoramento em outra licitação posterior. Nesse caso, o serviço de manutenção, prestado localmente nas instalações do Sebrae, poderia ser um item de adjudicação e os serviços de suporte e monitoramento, prestados remotamente pelo centro de operações de segurança, poderiam ser outro item.

49. Por outro lado, há risco de a licitação com adjudicação global ter aumentado os custos da contratação uma vez que restringiu a competitividade apenas às empresas capazes de fornecer todos os componentes de hardware, software e serviços do objeto do certame em questão.

50. Segundo informações fornecidas pelo próprio Sebrae, existem pelo menos três fabricantes que atendem as especificações de firewall/IPS, segurança de endpoint, correlacionador de eventos e filtro de conteúdo web (fl. 41). Entretanto, embora possam existir diversas empresas cadastradas pelos fabricantes de soluções de segurança como aptas a fornecer seus produtos e serviços, não são todas as que têm condições de fornecer todo o conjunto de produtos e serviços que compõem o objeto.

11


51. No caso de parcelamento do objeto, a competitividade poderia ser maior porque diferentes representantes dos fabricantes poderiam concorrer no certame. Entretanto, o não parcelamento do objeto impediu a participação de possíveis empresas especializadas, que teriam condições de fornecer parte dos componentes ou dos serviços, mas não todo o conjunto.

52. De fato, no caso do certame em questão, verificou-se baixa competitividade porque apenas quatro empresas participaram do certame, sendo que duas foram inabilitadas e apenas duas concorreram na fase de preços (fls. 144/145).

Conclusão 5

53. No caso do certame em questão, os argumentos apresentados pelo Sebrae, no sentido de que seria necessário garantir a economia de escala e otimizar o uso de recursos humanos, aplicam-se tanto para a contratação do objeto por meio de licitação com adjudicação global como para a contratação parcelada desse mesmo objeto por meio de licitação com adjudicação por itens (parágrafos 46/48).

54. Por outro lado, a licitação com adjudicação global dos componentes de hardware, software e serviços do objeto pode ter aumentado os custos da contratação por causa da baixa competitividade observada no certame (parágrafos 49/52).

Conclusão do item “a”

55. As justificativas apresentadas pelo Sebrae não procedem. O parcelamento do objeto da Concorrência nº 3/2010 do Sebrae Nacional não só é viável técnica e economicamente como é necessário, tendo em vista os objetivos de ampliar a competitividade no certame e reduzir os custos da contratação.

Item b) Quanto à capacidade dos equipamentos e especificações técnicas dos itens licitados


“b) que analise se as exigências do edital quanto à capacidade dos equipamentos e especificações técnicas exigidas dos itens licitados são demasiadas em relação às necessidades do Sebrae Nacional, uma vez que poderiam existir equipamentos menos robustos e mais baratos, que atenderiam, plenamente, às necessidades do Sebrae, conforme as alegações da denunciante e as informações tratadas no item 2.3.3 da instrução inicial (fl. 17, v.p);”

Alegações do Denunciante

57. Na Manifestação nº 28154 da Ouvidoria deste Tribunal existe a seguinte denúncia de direcionamento do Edital (fl. 12):

“Além disso, verificamos que a capacidade técnica exigida nos itens/elementos 1.1 à 1.5 é muito além da capacidade necessária para o excelente funcionamento dessa solução no SEBRAE Nacional.Órgãos públicos como SERPRO, Banco do Brasil e Caixa Econômica Federal não utilizam toda essa capacidade de interfaces que o edital do SEBRAE exige.Sobre as especificações técnicas dos equipamentos exigidos no certame, denunciamos o possível mal uso da verba pública, onde os equipamentos especificados não condiz com o tamanho do órgão, pois as especificações estão indicando equipamentos muito maiores do que a necessidade do SEBRAE Nacional e suas unidades regionais. Ressaltamos que não há o princípio da economicidade nessa licitação, uma vez que está sendo tentada a aquisição de equipamentos muito maiores do que o necessário, onde equipamentos menores e mais baratos seriam tão eficazes quanto os equipamentos especificados [...].”

Análise da Sefti

12


58. Em análise inicial, a Sefti entendeu que não havia nos autos elementos suficientes para realizar a análise solicitada pela 5ª Secex (fl. 176-v) e solicitou informações detalhadas do ambiente e da infraestrutura de TI do Sebrae Nacional e as propostas de preços das empresas licitantes (fls. 177-v e 179).

59. As especificações de capacidade e desempenho para os equipamentos de prevenção de intrusos de rede e para os equipamentos de firewalls (item 1.1.1.2, fls. 19/20, anexo 2; item 1.2.1.2, fls. 24/25, anexo 2; item 1.3.1.2, fls. 30/31, anexo 2; item 1.4.1.2, fl. 37, anexo 2; e item 1.5.1.2, fl. 43, anexo 2) foram confrontadas com as informações fornecidas pelo Sebrae e com os modelos de equipamentos das propostas de preços das empresas ISH (fl.30, anexo 4) e NCT (fl. 40, anexo 4).

60. Verificou-se que os modelos de equipamentos da marca Juniper Networks propostos pela empresa ISH são equipamentos de médio porte da linha de produtos desse fabricante (fls. 193/201).

61. Verificou-se também que os modelos de equipamentos da marca Fortinet propostos pela empresa NCT não são equipamentos de grande porte da linha de produtos desse fabricante (fl. 202), mas estão além das exigências do Sebrae e, portanto, a licitante poderia ter proposto equipamentos com menor desempenho e preço.

62. Além disso, pesquisa inicial realizada com equipamentos de firewall das marcas Checkpoint e Fortinet já havia mostrado que, de modo geral, as exigências do Sebrae apontam para equipamentos de médio porte desses fabricantes (fl. 176-v).

63. Essas evidências indicariam que o Sebrae não exagerou nas exigências de capacidade e desempenho para os equipamentos de prevenção de intrusos de rede e de firewalls.

64. Entretanto, com base nas informações apresentadas pelo Sebrae sobre sua rede de computadores (fls. 2/11, anexo 4), entende-se que os números de interfaces exigido para os equipamentos de prevenção de intrusos de rede (item 1.1.1.2.2.1, fl. 19, anexo 2) e para os equipamentos de firewalls (item 1.2.1.2.2.1, fl. 24, anexo 2; item 1.3.1.2.2.1, fl. 30, anexo 2; item 1.4.1.2.2.1, fl. 37, anexo 2; e item 15.1.2.2.1, fl. 43, anexo 2) podem ser considerados altos porque não se vislumbrou uso para todas essas interfaces, trazendo assim custos desnecessários com equipamentos superdimensionados e mais caros.

65. Em análise inicial, a Sefti apontou funcionalidades redundantes em alguns itens das especificações do objeto que poderiam resultar em custos adicionais com equipamentos mais caros (fl. 176-v). Essas funcionalidades foram agora analisadas com base nas novas informações apresentadas pelo Sebrae sobre sua infraestrutura de TI (fls. 2/11, anexo 4).

66. Considerando que o Sebrae tem acesso direto à internet em algumas unidades estaduais e que tem conexão com outras redes em todos os estados (fl. 3, anexo 4), entende-se que a inclusão da funcionalidade adicional de prevenção de intrusão nos equipamentos de firewall das unidades estaduais (item 1.4.2.8, fl. 39, anexo 2) não é redundante.

67. Considerando que o Sebrae Nacional oferece conexão à internet por meio de sua rede WAN para alguns estados (fl. 3, anexo 4) e que está adquirindo um elemento central de controle de conteúdo web (item 1.11 das especificações do objeto), entende-se que a inclusão da funcionalidade adicional de controle de conteúdo web somente é necessária nos equipamentos de firewall dos estados em que houver conexão direta com a internet.

68. Como o Sebrae não manifestou intenção de implantar a conexão direta à internet nos demais estados, entende-se que a funcionalidade de controle de conteúdo web (filtragem de URL) em todos os firewalls de rede para Sebrae/UF (item 1.4.2.10, fl. 40, anexo 2) é redundante e pode trazer custos desnecessários com equipamentos mais caros.

Conclusão do item “b”

13


69. Considerando as evidências encontradas, pode-se concluir que algumas exigências do edital quanto às especificações técnicas dos equipamentos de prevenção de intrusos de rede e de firewalls (itens 1.1 a 1.5 das especificações do objeto) são demasiadas, pois existem equipamentos menos robustos que atenderiam as necessidades do Sebrae Nacional.

Item c) Quanto à exigência de declaração de que a licitante possui centro de operações de segurança (SOC)

70. A 5ª Secex solicitou o seguinte parecer da Sefti (fls. 156/157):

“c) quanto ao entendimento de que a apresentação, pelas licitantes, de declaração de SOC, conforme exigência do item 7.7 do edital de concorrência n.º 003/2010, restringiu o caráter competitivo da licitação, em função de impor, às licitantes, a realização de despesas desnecessárias e anteriores à própria celebração do contrato (item 2.2 desta instrução);”

71. No item “c” da oitiva, foi solicitada a manifestação do Sebrae sobre o seguinte ponto (fl. 31):

“justificativa da exigência prevista no item 7.7 do edital de concorrência 003/2010 (apresentar declaração específica de que possui um centro de operação de segurança), de modo que a mesma não constitua, às licitantes, despesas que sejam desnecessárias e anteriores à própria celebração do contrato ou que frustrem o caráter competitivo do certame.”

Argumentos do Sebrae

72. Para o item “c” da oitiva, o Sebrae apresentou os seguintes argumentos (fl. 51):

“A correta operação de um Centro de Segurança necessita, além das soluções de equipamentos, softwares e especialistas, a implantação de processos e procedimentos bem definidos e testados, os quais demandam tempo e maturidade na equipe para que funcionem corretamente.As declarações de que tratam o item 7.7 do edital corresponde ao Centro de Operações de Segurança – SOC, além de padrões de qualidade que garantam segurança, confiabilidade, instalação correta, pós venda especializada e respeito ao fator crítico representado pelo produto complexo que está sendo vendido. O centro de operação de segurança é necessário para garantir o monitoramento 24x7 da solução implantada. A empresa não está obrigada a possuir este serviço próprio, podendo ser contratado de terceiro.[...]Além disso, o certame teve quatro empresas que participaram do processo licitatório e todas as empresas apresentaram a declaração.”

Análise da Sefti

73. O item 7.7 do edital (fl. 8, anexo 2) exigiu das empresas licitantes a apresentação de declaração específica de que possuem um centro de operações de segurança ou SOC (Security Operations Center). Entretanto, de acordo com o Sebrae, essa exigência não obrigou as empresas a terem um SOC próprio porque poderiam contratá-lo de terceiro (fl. 51). Assim sendo, poderiam participar do certame empresas que possuem SOC próprio e empresas que possuem SOC terceirizado.

74. Ora, a questão que se discute aqui não é a posse ou não de um SOC próprio, mas a necessidade de se incorrer em custos anteriores à contratação. No caso, empresas que não possuem SOC teriam que incorrer em custos antecipados apenas para concorrer no certame, implantando um SOC próprio ou subcontratando um de terceiro.

75. O Sebrae poderia ter optado por ampliar a competitividade potencial no certame se não exigisse essa declaração como documento de habilitação. Como a implantação de um novo SOC no curto espaço de tempo entre a comunicação do julgamento das propostas e o início da prestação dos serviços seria inviável, a licitante vencedora, caso ainda não tenha um SOC próprio ou terceirizado, poderia subcontratar um SOC de terceiro já em operação.

14


76. Além disso, o art. 12, inciso II, do Regulamento de Licitações e Contratos do Sistema Sebrae estabelece a documentação exigível das empresas licitantes quanto à qualificação técnica:

“Art. 12. Para a habilitação nas licitações, observado o disposto no parágrafo único deste artigo, poderá ser exigida dos interessados, no todo ou em parte, conforme se estabelecer no instrumento convocatório, documentação relativa a:[...]II - qualificação técnica:a) registro ou inscrição na entidade profissional competente;b) documentos comprobatórios de aptidão para desempenho de atividade pertinente e compatível em características, quantidades e prazos com o objeto da licitação;c) comprovação de que recebeu os documentos e de que tomou conhecimento de todas as condições do instrumento convocatório;d) prova de atendimento de requisitos previstos em lei especial, quando for o caso.”

77. Porém, verifica-se que a declaração da licitante de que possui SOC não pode ser enquadrada em nenhum dos itens acima.

78. O Sebrae exigiu uma declaração, mas não especificou qual seria o seu conteúdo. Faltou definir o que seria um SOC aceitável em termos de recursos mínimos de TI (computadores, softwares, meios de comunicação de dados).

79. Ou seja, uma empresa pode até ter um SOC, mas isso não significa que ela é apta a prestar os serviços conforme a especificação do edital.

80. Portanto, a declaração da licitante de que possui SOC não pode ser considerada um documento comprobatório de aptidão para desempenho de atividade pertinente e compatível com o objeto da licitação porque não especifica características, quantidades e prazos.

81. Se a preocupação do Sebrae era a qualificação técnica das licitantes, já existe a exigência no item 7.1.3 do edital (fl. 6, anexo 2) de atestados de capacidade técnica que comprovem que as licitantes já forneceram os itens detalhados nas especificações do objeto, incluindo os serviços de monitoramento (item 1.13, fls. 86/87, anexo 2) e suporte técnico (item 1.14, fls. 88/89, anexo 2), cujas especificações exigem que a contratada possua ou subcontrate um centro de operações de segurança.

Conclusão do item “c”

82. Além de restringir o caráter competitivo do certame, a exigência de declaração de que possui SOC do item 7.7 do Edital da Concorrência nº 3/2010 do Sebrae é irregular porque esse documento não é equiparável aos previstos no art. 12, inciso II, do Regulamento de Licitações e Contratos do Sistema Sebrae.

Item d) Quanto à restrição ao caráter competitivo no certame


“d) que examine as informações prestadas pelo gestor e analise o entendimento de que as exigências dos itens 1.7.30, 1.7.31 e 1.10.1.5.7, do Anexo I, do edital 003/2010 não restringiram o caráter competitivo da licitação, em função de não serem exclusivas de um único fabricante;”

84. Para elucidar as alegações do denunciante de que as exigências dos itens 1.7.30, 17.31 e 1.10.1.5.7 do Anexo I do edital do certame em questão restringiram o caráter competitivo do certame, foi solicitado que o Sebrae apresentasse as seguintes informações na oitiva (fls. 150/151):

“d) as propostas orientadoras de fornecedores que nortearam a elaboração do termo de referência ou do projeto básico, com base em informações de diversas fontes, justificando o método utilizado, bem como as fontes dos dados utilizadas;

15


“e) informação da quantidade de empresas que retiraram o edital de concorrência n.º 003/2010, bem como daquelas que apresentaram proposta.”

Argumentos do Sebrae

85. Para o item “d” da oitiva, destacam-se as seguintes informações apresentadas pelo Sebrae (fl. 52):

“Foram analisadas soluções de mercado, juntamente com os resultados esperados pelo SEBRAE no intuito de concretizar uma especificação técnica aderente aos produtos comercializados no mercado e também principalmente nas necessidades e características da rede computacional do SEBRAE. Dentre estes fabricantes analisados, citamos alguns que julgamos atender plenamente as especificações do SEBRAE: Fortnet; Checkpoint; McAfee; Juniper; RSA; ArcSight; Symantec; TendMicro; Kaspersky; BlueCoat; Optenet NetSecure; WebSense.Quando da obtenção das propostas orientativas, o SEBRAE não recebeu nenhum questionamento quanto às especificações técnicas. Ademais, os questionamentos recebidos quando da realização do edital foram devidamente respondidos.Diversas características técnicas foram extraídas de sites de fabricantes diferentes, colhendo as informações mais aderentes às necessidades do SEBRAE. Certo também, que várias características técnicas foram demandadas de seus próprios colaboradores por meio de sugestões e incidentes ocorridos nas dependências do SEBRAE.”

86. Para o item “e” da oitiva, o Sebrae apresentou as seguintes informações (fl. 53):

“Retiraram o Edital cinquenta e três pessoas jurídicas e vinte e duas pessoas físicas; quatro empresas apresentaram propostas na licitação. Relembra-se que o edital foi publicado nas praças de Minas Gerais, São Paulo e Brasília.”

Análise da 5ª Secex

87. Destaca-se o seguinte trecho da análise realizada pela 5ª Secex (fls. 151/152):

“2.3.7. Ressalte-se, a título de exemplo, pesquisa realizada, no âmbito da 5ª Secex, em alguns fabricantes. As funcionalidades foram encontradas no Virtual IPS, CA Anti-Virus Plus 2010 e CISCO, conforme descrito a seguir:

A realização do download automático de listas de endereços IP maliciosos (atacantes) que foram detectados recentemente na internet pelo fabricante da solução, e utilizar esta informação como parte da correlação de evento.

Característica: capacidade de correlação de eventos, a partir de ‘blacklist’ da base de conhecimento do fabricante.

Fabricante de virtual IPS:‘... Product: StoneGate Virtual IPS Appliance [...] Protects Internal Networks from Malicious Traffic in Demanding Virtual Environments [...] Features: [...] Advanced blacklisting and whitelisting capabilities in conjunction with StoneGate virtual and/or physical appliances ...’ http://www.vmware.com/appliances/directory/1320

Emissão de declaração específica de que a solução ofertada contempla os serviços de laboratórios de pesquisa 24x7, que analisem sites, possuindo assim visão global para detecção de novas ameaças e vulnerabilidades, objetivando fornecer atualizações automáticas diárias para correlação dos eventos locais coletados.

Característica: disponibilidade de laboratório de pesquisa 24x7, capaz de analisar sites e agilizar a preparação de atualizações.

Fabricante CA (computer associates): ‘... CA Anti-Virus Plus 2010: [...] Supported by the CA Security Advisor Team our worldwide research labs work 24x7 to detect threats before they can

16


damage your PC, helping ensure protection from the latest threats...’ http://www.casecuritystore.com/ca-anti-virus-plus.php

Permitir o isolamento manual de arquivos selecionados, para área de quarentena, para serem enviados e vistoriados pelo centro de pesquisa do fabricante.

Característica: ‘funcionalidade de quarentena’

Fabricante CISCO: ‘...Virus infection on data networks has become an increasingly serious problem. [...] NAC works with anti-virus software to assess the condition, called the posture, of a client before allowing access to the network. [...] If the client has been compromised or if a virus outbreak is occurring on the network, NAC places the client into a quarantined network segment until disinfection is completed...’ http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/ImplNAC/nac01.pdf

2.3.8. Assim, preliminarmente, demonstra-se que o Sebrae, para a composição dos preços de referência e definição dos objetos a serem licitados, se preocupou em verificar se os itens não eram exclusivos de um único fabricante. Do mesmo modo, na pesquisa realizada pela 5ª Secex, verificou-se que as soluções de segurança não são exclusivas da Symantec.” (grifos no original).

Análise inicial da Sefti

88. Destaca-se o seguinte trecho da análise inicial da Sefti (fl. 177):

“16. Apesar de declarar em sua manifestação que foram analisadas soluções de mercado e citar alguns fabricantes que atenderiam as especificações do edital (fl. 52), o Sebrae não apresentou evidências para comprovar que as exigências dos itens 1.7.30, 1.7.31 e 1.10.1.5.7 das especificações do objeto não direcionaram o certame para a solução da fabricante Symantec.

17. Pesquisa realizada pela 5ª Secex (fls. 151/152) também não demonstrou que essas exigências não são exclusivas de um único fabricante, pois:

[...]

18. Pesquisa realizada pela Sefti em produtos de fabricantes citados pelo Sebrae (fl. 41) revelou que a funcionalidade exigida pelo item 1.10.1.57 (fl. 63, anexo 2) das especificações do sistema de segurança de endpoint foi encontrada no produto VirusScan da empresa McAfee (fls. 174/175). Entretanto, não foi possível encontrar por meio de pesquisas na internet quais são os produtos que atendem as exigências dos itens 1.7.30 e 1.7.31 (fl. 54, anexo 2) das especificações do sistema de correlacionamento de eventos.

[...]

20. A empresa ISH apresentou evidência (fls. 164/165) de que um antivírus da empresa Kasperky atende a exigência do item 1.10.1.5.7. Entretanto, com relação aos itens 1.7.30 e 1.7.31, a empresa ISH apresentou argumentação vaga e não comprovou que existem outros fabricantes de sistemas de correlacionamento de eventos que atendem as exigências desses itens.

[...]

22. Além disso, embora não questionada pelo denunciante, a exigência do item 1.7.53 (fl. 55, anexo 2) das especificações do sistema de correlacionamento de eventos chamou atenção desta Secretaria porque não foram encontradas informações sobre o padrão EMR e também não foram encontrados produtos de outros fabricantes, além da empresa Symantec, que utilizam esse padrão.

23. Assim sendo, entende-se necessário solicitar que o Sebrae apresente documentação comprobatória (página de fabricante na internet, datasheet, manual de uso, tela de software etc) de que existem produtos de outros fabricantes, além da empresa Symantec, que atendem as exigências dos itens 1.7.30, 1.7.31 e 1.7.53 das especificações do objeto da Concorrência nº 3/2010.

17


24. Outra possível restrição à competitividade foi encontrada nas especificações do sistema de controle de conteúdo web, pois o item 1.11.1.22.3 (fl. 78, anexo 2) exige integração nativa com duas marcas de sistemas de cache: Blue Coat ProxySG e Network Applicance NetCache.

25. Desse modo, entende-se necessário solicitar que o Sebrae comprove que utiliza em sua infraestrutura de TI esses dois sistemas de cache e que apresente quais sistemas de controle de conteúdo web atendem as exigências do item 1.11.1.22.3 das especificações do objeto da Concorrência nº 3/2010, incluindo a devida documentação comprobatória (página de fabricante na internet, datasheet, manual de uso, tela de software etc).”

Análise da Sefti

89. O denunciante apresentou três exigências do edital que seriam atendidas apenas pela solução da empresa Symantec (fls. 3/4): itens 1.7.30, 1.7.31 (fl. 54, anexo 2) e 1.10.1.5.7 (fl. 63, anexo 2) das especificações do objeto.

90. Em análise inicial (fls. 176/178), a Sefti:

90.1. Entendeu que não existiam elementos suficientes nos autos para comprovar que as exigências dos itens 1.7.30 e 1.7.31 das especificações do software de correlacionamento de eventos não direcionaram o certame para a solução da fabricante Symantec (fl. 177).

90.2. Questionou a exigência do item 1.7.53 (fl. 55, anexo 2) das especificações do software de correlacionamento de eventos “porque não foram encontradas informações sobre o padrão EMR e também não foram encontrados produtos de outros fabricantes, além da empresa Symantec, que utilizam esse padrão” (fl. 177).

90.3. Apontou ainda uma possível restrição à competitividade no item 1.11.1.22.3 das especificações do software de controle de conteúdo web (fl. 78, anexo 2), que exige integração nativa com duas marcas de sistemas de cache: Blue Coat ProxySG e Network Applicance NetCache (fl. 177-v).

91. Assim sendo, a Sefti solicitou que o Sebrae:

91.1. Apresentasse documentação comprobatória de que existem produtos de outros fabricantes, além da Symantec, que atendem as exigências dos itens 1.7.30, 1.7.31 e 1.7.53 das especificações do objeto (fls. 177-v e 179).

91.2. Comprovasse que utiliza em sua infraestrutura de TI os sistemas de cache Blue Coat ProxySG e Network Applicance NetCache.

91.3. Apresentasse quais sistemas de controle de conteúdo web atendem as exigências do item 1.11.1.22.3 das especificações do objeto do certame em questão (fls. 177-v e 179).

Dos questionamentos do denunciante – itens 1.7.30 e 1.7.31

92. O item 1.7.30 das especificações do objeto apresenta a seguinte exigência para o software de correlacionamento de eventos: “Deve realizar o download automático de lista de endereços IP maliciosos (atacantes) que foram detectados recentemente na Internet pelo fabricante da solução, e utilizar esta informação como parte da correlação de eventos” (fl. 54, anexo2).

93. O item 1.7.31 das especificações do objeto apresenta a seguinte exigência para o software de correlacionamento de eventos: “A CONTRATADA deve emitir declaração específica de que solução ofertada contempla os serviços de laboratórios de pesquisa 24x7, que analisem sites, possuindo assim visão global para detecção de novas ameaças e vulnerabilidades [...]” (fl. 54, anexo2).

94. Como exemplo de produto que atende as exigências dos itens 1.7.30 e 1.7.31 das especificações do objeto, o Sebrae apresentou o serviço Threat Intelligence da empresa Secure Works,

18


que possui laboratório 24x7 e informações de endereços IP de origens de ataques (fls. 12/13, anexo 4).

95. Entretanto, não foi apresentada uma solução de hardware e software de correlacionamento de eventos da empresa Secure Works que se integre com o seu serviço Threat Intelligence e que atenda as especificações do item 1.7 das especificações do objeto do certame em questão. Também não se encontrou essa solução por meio de pesquisas nas páginas da internet dessa empresa.

96. O Sebrae apresentou também a solução QRadar da empresa Q1 Labs (fls. 14/15, anexo 4), que fornece atualizações automáticas de segurança, incluindo informações de endereços IP de atacantes.

97. Contudo, não foi apresentada evidência de que a empresa possui e oferece os serviços de laboratório de pesquisa 24x7, conforme exigência do item 1.7.31 do edital. Também não se encontrou essa informação por meio de pesquisas nas páginas da internet dessa empresa.

98. Portanto, não é possível afirmar que a solução QRadar da empresa Q1 Labs atende o exigido no item 1.7.31 das especificações do objeto.

99. O Sebrae apresentou ainda a solução SiteProtector da empresa ISS (fls. 15/18, anexo 4), que possui laboratório 24x7 e oferece atualizações automáticas de segurança.

100. Não foi apresentada, porém, evidência de que a solução realiza download automático de lista de endereços IP maliciosos, conforme exigência do item 1.7.30 do edital. Também não se encontrou essa informação por meio de pesquisas nas páginas da internet dessa empresa.

101. Assim, não é possível afirmar que a solução SiteProtector da empresa ISS atende o exigido no item 1.7.30 das especificações do objeto.

102. Dessa forma, não é possível afirmar que as soluções das empresas apresentadas pelo Sebrae atendem as exigências do itens 1.7.30 e 1.7.31 das especificações do objeto.

Dos questionamentos do denunciante – item 1.10.1.5.7

103. O item 1.10.1.5.7 das especificações do objeto apresenta a seguinte exigência para a funcionalidade antivírus e antispyware: “Permitir o isolamento manual de arquivos selecionados, para a área de quarentena, para serem enviados e vistoriados pelo centro de pesquisa do fabricante” (fl. 63, anexo 2).

104. Pesquisa realizada pela Sefti mostrou que o produto VirusScan da empresa McAfee (fls. 174/175) atende a exigência do item 1.10.1.5.7 do software de segurança de endpoint. A empresa ISH apresentou evidência (fls. 164/165) de que um antivírus da empresa Kasperky também atende a exigência desse item.

105. Portanto, não procede a denúncia de que a exigência do item 1.10.1.5.7 das especificações do objeto teria direcionado o certame para a solução da empresa Symantec.

Dos questionamentos da Sefti – item 1.7.53

106. O item 1.7.53 das especificações do objeto apresenta a seguinte exigência para o software de correlacionamento de eventos: “A classificação de eventos deve usar o padrão EMR (Efeitos x Mecanismos x Recursos)” (fl. 55, anexo 2).

107. Com relação ao exigido no item 1.7.53 das especificações do objeto, o Sebrae ofereceu o seguinte esclarecimento (fls. 11/12, anexo 4):

“A classificação baseada em Efeitos, Mecanismos e Recursos recomenda que um ataque seja avaliado quanto ao seu efeito (impacto), mecanismo de exploração e recursos (tipo de serviço/host explorado), e que estas informações sejam levadas em consideração na priorização de um incidente. Deve-se levar em conta que diariamente serão correlacionados milhões de eventos, e que sem uma priorização

19


adequada torna a avaliação destes resultados complexa e ineficiente. Ressalta-se, ainda, que o item 1.7.53 não foi restritivo, uma vez que, não foi detalhada nenhuma forma de implementação deste processo de classificação.” (grifos no original).

108. E procurou demonstrar que as soluções das empresas Secure Works (fls. 12/13, anexo 4), Q1 Labs (fls. 14/15, anexo 4), ISS (fls. 17/18, anexo 4) e ArcSight (fls. 18/19, anexo 4) classificam eventos com base em informações de efeitos, mecanismos e recursos.

109. Porém, o item 1.7.53 exige explicitamente a utilização de um padrão específico, ou seja, não é possível aceitar uma forma qualquer de classificação de eventos.

110. Entretanto, verifica-se que cada empresa citada pelo Sebrae implementou sua própria forma de classificação e que não há um padrão comum.

111. A Symantec é a única empresa encontrada que declara que utiliza um padrão chamado EMR (fl. 204-v) para classificar os eventos de segurança.

112. Portanto, não é possível afirmar que as soluções das empresas apresentadas pelo Sebrae atendem a exigência do item 1.7.53 das especificações do objeto.

Dos questionamentos da Sefti – item 1.11.1.22.3

113. O item 1.11.1.22.3 das especificações do objeto exige integração nativa do software de controle de conteúdo web com os sistemas de cache Blue Coat ProxySG e Network Appliance NetCache (fls. 77/78, anexo 2).

114. Com relação à possível restrição à competitividade apontada no item 1.11.1.22.3 das especificações do software de controle de conteúdo web, o Sebrae:

114.1. Apresentou evidência de que utiliza o sistema de cache Blue Coat ProxySG (fls. 22/24, anexo 4), mas não apresentou evidência de que utiliza o sistema de cache Network Appliance NetCache.

114.2. Apresentou evidência de que existe integração entre o sistema de controle de conteúdo web WebFilter e o sistema de cache ProxySG, ambos da empresa Blue Coat (fls. 19/20, anexo 4).

114.3. Apresentou evidência de que o sistema de controle de conteúdo web SmartFilter da empresa McAfee se integra com os sistemas de cache ProxySG e NetCache da empresa Blue Coat (fls. 20/21, anexo 4).

115. Portanto, o Sebrae:

115.1. Justificou a exigência de integração nativa com o sistema de cache Blue Coat ProxySG, mas não com o sistema de cache Network Appliance NetCache.

115.2. Comprovou que os sistemas de cache das empresas Blue Coat e McAfee atendem as exigências do item 1.11.1.22.3 das especificações do objeto.

116. Dessa forma, apenas a exigência de integração nativa com o sistema de cache Network Appliance NetCache representou restrição à competitividade porque o Sebrae não apresentou evidência de que utiliza essa sistema de cache em sua infraestrutura de TI, não comprovando assim a necessidade desse requisito.

Conclusão do item “d”

117. Com relação aos itens questionados pelo denunciante, há indícios de que houve restrição à competitividade uma vez que não foi comprovado que existe algum produto, além da solução da empresa Symantec, que atende as exigências dos itens 1.7.30 e 1.7.31 das especificações do software de correlacionamento de eventos (parágrafos 92/105).

20


118. Com relação aos itens questionados pela Sefti, há indícios de que houve restrição à competitividade no certame porque:

118.1. Não foi comprovado que existe algum produto, além da solução da empresa Symantec, que atenderia a exigência do item 1.7.53 das especificações do software de correlacionamento de eventos (parágrafos 106/112).

118.2. O Sebrae exigiu integração nativa com o sistema de cache Network Appliance NetCache (item 1.11.1.22.3 das especificações do software de controle de conteúdo web), mas não apresentou evidência de que utiliza esse sistema de cache em sua infraestrutura de TI, não comprovando assim a necessidade desse requisito (parágrafos 113/116).

Manifestação da Empresa ISH Tecnologia Ltda.

119. Em 16/6/2010, a empresa ISH Tecnologia Ltda., como parte interessada (fl. 159), deu entrada no TCU em documento para “trazer relevantes elementos para subsidiar a análise a ser realizada por essa Egrégia Corte de Contas” (fl. 163) e requerer que seja reconhecida “a inexistência de direcionamento do certame em seu favor” e “a licitude e a necessidade da adoção, na contratação em tela, da adjudicação por menor preço global” (fl. 170) (grifos no original).

120. A empresa procurou demonstrar que não existiu direcionamento do certame em seu favor ou de um único fabricante (fls. 163/165) e que existem vantagens decorrentes da contratação em lote único (fls. 166/170). Para melhor analisar o assunto, optou-se por dividir a manifestação da empresa em função dos argumentos apresentados.

Argumento 1 – Os principais fabricantes mundiais de soluções de segurança de TI atendem as especificações do edital

121. A empresa ISH citou alguns dos principais fabricantes de soluções de segurança que atenderiam as especificações do edital (fl. 164):

“Firewalls – Check Point, Fortinet, McAfeeSistemas de Prevenção de Intrusões (IPS) – TippingPoint, Check Point, Sourcefire, McAfeeGerenciamento de Segurança – CheckPoint, FortinetCorrelação de Eventos – Enterasys, Q1 Labs, ArcSight, JuniperAntivírus – McAfee, Trend, KasperskyFiltro de Conteúdo Web – McAfee, BlueCoat, Cisco, Optenet” (grifos no original).

122. Com relação ao exigido no item 1.10.1.5.7 (fl. 63, anexo 2) das especificações do objeto do certame em questão (fls. 18/93, anexo 2), a empresa apresentou o seguinte esclarecimento específico (fls. 164/165):

“Este recurso é suportado por diversos fabricantes de soluções de antivírus. Como exemplo, verifica-se que a fabricante Kaspersky também possui suporte à referida funcionalidade, conforme documentação publicada no sítio http://www.kaspersky.com/support/sos/tech?blockid=198345202&qid=193239151 [...]”

123. Com relação ao exigido nos itens 1.7.30 e 1.7.31 (fl. 54, anexo 2), a empresa apresentou o seguinte esclarecimento (fl. 165):

“Conforme constatado pela própria análise da área técnica dessa Corte de Contas, os principais fabricantes possuem laboratórios de pesquisa, operando em regime 24x7 (24 horas por dia, 7 dias na semana, através dos quais novas ameaças são detectadas, incluindo aí seus endereços IP, e estudadas de forma a fornecer atualizações para os produtos de segurança. Quanto às atualizações automáticas e diárias, com base nas informações destes laboratórios de pesquisa comuns a todos os fabricantes, os licitantes podem utilizar ‘features’ dos próprios produtos ofertados, ou, ainda, desenvolverem

21


aplicações complementares com esta finalidade integrando as informações de inteligência geradas pelo fabricante com a solução a ser implantada no SEBRAE, o que não é vedado pelo edital.Portanto, mesmo que somente um fabricante atendesse às exigências editalícias [...], seria absurdo imaginar que tal circunstância configuraria direcionamento do certame à ISH TECNOLOGIA, eis que não seria a única revenda capaz de fornecer produtos dos fabricantes indicados, uma vez que no cadastro da Symantec, Websense e Juniper,há diversas empresas aptas a fornecer os produtos e serviços e, consequentemente, participar do certame licitatório.” (grifos no original).Análise da Sefti

124. De modo geral, existem diversos produtos de fabricantes diferentes que atenderiam as exigências das especificações dos componentes do objeto da Concorrência nº 3/2010 do Sebrae.

125. Porém, o denunciante apresentou três exigências que direcionariam o certame para as soluções da fabricante Symantec (fls. 3/4). Essas exigências referem-se especificamente aos itens 1.7.30, 1.7.31 (fl. 54, anexo 2) e 1.10.1.5.7 (fl. 63, anexo 2) das especificações do objeto.

126. Apesar de citar em sua manifestação alguns dos principais fabricantes de soluções de segurança que atenderiam as especificações do edital (fl. 164), a empresa ISH só apresentou comprovação específica para a exigência do item 1.10.1.57 das especificações do sistema de segurança de endpoint (fls. 164/165).

127. A empresa ISH apresentou evidência (fls. 164/165) de que um antivírus da empresa Kasperky atende a exigência do item 1.10.1.5.7. Além disso, pesquisa realizada pela Sefti encontrou evidência de que um antivírus da empresa McAfee também atende ao exigido nesse item (fls. 174/475).

128. Entretanto, com relação aos itens 1.7.30 e 1.7.31, a empresa ISH apresentou argumentação vaga e não comprovou que existem outros fabricantes de soluções de correlacionamento de eventos que atendem as exigências desses itens, pois:

128.1. Não apresentou evidências de que existem produtos de outros fabricantes que utilizam lista atualizada de endereços IP maliciosos como informação para o correlacionamento de eventos. Nesse caso, não é possível utilizar funcionalidades dos outros produtos ofertados porque são exigências específicas para o sistema de correlacionamento de eventos.

128.2. Apesar de o desenvolvimento de aplicações complementares não estar vedado explicitamente no edital, verifica-se pelas especificações do objeto que o Sebrae não pretendeu contratar desenvolvimento de software, mas adquirir soluções de software e hardware já disponíveis no mercado. Além disso, questiona-se a viabilidade técnica de uma empresa licitante incluir essa funcionalidade em produto fabricado por uma terceira empresa.

Conclusão 1

129. Não é possível afirmar que houve direcionamento para a empresa ISH, entretanto os argumentos trazidos por ela não afastaram os indícios de direcionamento para a fabricante Symantec, no que tange à aquisição de solução de correlacionamento de eventos (itens 1.7 a 1.9 das especificações do objeto).

Argumento 2 – Existem vantagens técnicas decorrentes da contratação em lote único

130. A empresa ISH apontou as seguintes vantagens técnicas da contratação em lote único (fls. 166/167):

130.1. “Garantia de compatibilidade técnica entre os componentes formando uma solução única e integrada”;

130.2. “Melhor comunicação com os responsáveis pela instalação e funcionamento da solução ao reduzir o número de interlocutores”;

22


130.3. “Integração garantida entre os componentes da solução, pois o fornecedor terá uma visão completa de todo o ambiente podendo explorar melhor as funcionalidades de cada um dos componentes em prol da instituição”;

130.4. “Redução da exposição a riscos, pois o fornecedor que realizará a operação/manutenção do ambiente já possui capacitação e experiência nos componentes exigidos”;

130.5. “Redução do espaço físico do Datacenter utilizado no cliente”;

130.6. “Operação e atualização da solução segundo as melhores práticas imediatamente após a sua instalação, o que não aconteceria caso o Sebrae tivesse que treinar equipe própria, ou mesmo efetuar outra aquisição para operação da solução”;

130.7. “Agilidade no diagnóstico e resolução de problemas de segurança”;

130.8. “Diminuição no número de prestadores de serviços com conhecimento de elementos críticos de segurança da informação do Sebrae, aumentando a Segurança intrínseca do sistema”;

130.9. “Pagamento mediante a entrega de soluções instaladas, e integradas às demais já em funcionamento”;

130.10. “Velocidade na redução das vulnerabilidades existentes atualmente que estão impactando no negócio do Sebrae”;

130.11. “Redução dos custos de mobilização de equipe própria, e treinamento deste pessoal, pela realtiva padronização dos sistemas ofertados”;

130.12. “Utilização de serviços de monitoramento via SOC especializado nas soluções adquiridas e com acesso direto aos fabricantes da solução, sem a necessidade de gerar uma estrutura para esta finalidade com funcionamento 7x24”.

Análise da Sefti

131. Conforme conclusão anterior desta instrução (parágrafo 17), o objeto da Concorrência nº 3/2010 do Sebrae não pode ser considerado uma solução única, mas um conjunto de soluções composto de produtos diversos de fabricantes diferentes.

132. A própria empresa ISH reconheceu esse fato ao utilizar o termo soluções de segurança e classificar os fabricantes de acordo com a finalidade de seus produtos (fl. 164): firewalls, sistemas de prevenção de intrusões, gerenciamento de segurança, correlação de eventos, antivírus e filtro de conteúdo web.

133. Como o objeto não se trata de uma solução única, não existe necessidade de garantir compatibilidade técnica e integração entre todos os produtos e soluções.

134. Dessa forma, pode-se verificar que muitas vantagens técnicas apresentadas pela empresa também se aplicam à aquisição das várias soluções em lotes separados, tais como: garantia de compatibilidade e integração entre os componentes, redução do espaço físico no datacenter, agilidade no diagnóstico e resolução de problemas de segurança, pagamento mediante entrega de soluções instaladas e integradas, velocidade na resolução de vulnerabilidades, redução dos custos de mobilização de equipe própria e utilização de serviços de monitoramento via SOC.

135. Além disso, as vantagens listadas pela empresa, que não se aplicam à aquisição das várias soluções em lotes separados, não inviabilizam tecnicamente o parcelamento do objeto, tais como: redução do número de interlocutores, visão completa de todo o ambiente, operação e monitoramento imediatamente após a instalação das soluções.

Conclusão 2

23


136. Como o objeto da Concorrência nº 3/2010 do Sebrae não pode ser considerado uma solução única, mas um conjunto de soluções composta de produtos diferentes, muitas vantagens técnicas apresentadas pela empresa ISH também se aplicam à aquisição das várias soluções em lotes separados, e as vantagens que não se aplicam não inviabilizam o parcelamento do objeto.

Argumento 3 – Existem vantagens econômicas decorrentes da contratação em lote único

137. A empresa ISH procurou demonstrar as vantagens econômicas decorrentes de ganho de escala na contratação por lote único (fl. 167):

“A contratação em ‘lote único’ mostra-se importante para viabilizar uma melhor negociação entre as empresas participantes do certame e os respectivos fabricantes, permitindo a obtenção de condições comerciais muito favoráveis para o processo.No caso concreto, foram evidentes os significativos descontos obtidos pela ISH (vide comparação de aquisição isolada e em lote único, trazida adiante) e melhores condições de pagamento, motivadas pelo tamanho da oportunidade, características de integração e importância do cliente.Foi possível obter, junto aos fabricantes, um desconto médio superior a 50%, sendo ainda maior em alguns itens, considerando o preço de aquisição individual dos componentes.”

138. Em seguida, a empresa ISH apresentou duas tabelas: a primeira é uma estimativa de preços para contratação isolada dos componentes do objeto do certame em questão e a segunda é a proposta da empresa para contratação em lote único (fls. 167/168).

139. Por último, a empresa apresentou considerações a respeito da implementação da solução em todos os estados da federação (fls. 168/169):

“Adicionalmente à redução listada acima, como a implementação da solução será efetuada em todos os estados da federação, demandando consideráveis custos de viagens, a implementação da solução das bordas pelas mesmas equipes em trânsito [...] permitiu ainda redução considerável nos valores de implementação das soluções nestas localidades, o que não aconteceria caso as soluções tivessem sendo adquiridas individualmente, ou mesmo produtos adquiridos em separado dos serviços de implementação, mostrando o acerto do SEBRAE em relação à otimização do custo final de aquisição neste certame.”

Análise da Sefti

140. As duas tabelas apresentadas pela empresa ISH comparam a aquisição isolada de cada componente do objeto em questão com uma aquisição em lote único. Entretanto, a alternativa razoável a uma aquisição em lote único não seria a aquisição isolada dos componentes, mas sim parcelar o objeto em função das várias soluções que o compõem, agrupando os componentes que juntos formam soluções específicas.

141. Assim, por exemplo, uma solução de firewall e prevenção de intrusos de rede seria formada pelos itens 1.1 a 1.6 (fls. 19/52, anexo 2) e uma solução de correlacionamento de eventos seria formada pelos itens 1.7 a 1.9 (fls. 53/59, anexo 2).

142. Dessa forma, a aquisição separada das várias soluções também permitiria ganho de escala porque os itens não seriam negociados isoladamente com os fabricantes. As licitantes poderiam negociar em conjunto com cada fabricante. Por exemplo, os componentes da solução de firewall e prevenção de intrusos de rede, incluindo oitenta e oito equipamentos de firewall e dois equipamentos de prevenção de intrusos; os componentes da solução de correlacionamento de eventos, incluindo dois equipamentos para correlacionamento de eventos, trezentas licenças para agentes de servidor e dez mil para agentes de clientes; os componentes da solução de segurança de endpoint, incluindo softwares para servidores e clientes e licenças para dez mil usuários; os componentes da solução de controle de conteúdo web, incluindo software para servidores e licenças para dez mil usuários (fl. 18, anexo 2).

24


143. Portanto, o percentual de 50% de desconto médio apresentado pela empresa ISH pode até representar um possível ganho obtido no preço com a aquisição em lote único quando comparada com a aquisição individual dos vários componentes do objeto do certame em questão, mas não representa um ganho real quando comparado com a aquisição desses componentes agrupados em função das diferentes soluções de segurança identificadas acima.

144. Outra possível vantagem econômica decorrente da aquisição em lote único apresentada pela empresa ISH foi a afirmação de que houve redução considerável nos valores dos serviços de instalação e implementação em todos os estados da federação porque serão utilizadas as mesmas equipes em trânsito para todas as soluções de segurança (fls. 168/169).

145. Admite-se que essa pode ser uma vantagem econômica decorrente da aquisição em lote único, contudo, conforme já demonstrado nesta instrução (parágrafo 54), a opção por uma licitação com adjudicação global pode ter aumentado os custos da contratação porque restringiu a competitividade apenas às empresas capazes de fornecer todos os componentes do objeto.

Conclusão 3

146. As vantagens econômicas apresentadas pela empresa ISH para a aquisição em lote único não comprovaram a inviabilidade econômica do parcelamento do objeto do certame em questão e não justificam a restrição à competitividade observada no certame.

Argumento 4 – O entendimento do TCU consolidado na Súmula 247 foi plenamente observado pelo Sebrae

147. A empresa ISH afirmou que o entendimento do TCU “quanto à adjudicação por itens ou por menor preço global, consolidado na mencionada Súmula, foi plenamente observado pelo SEBRAE” (fl. 169) e apresentou a seguinte argumentação (fls. 169/170):

“Veja-se que a Súmula transcrita traz como regra a adjudicação por item, em detrimento daquela por menor preço global, apenas nos casos em que disso não resulte prejuízo para o conjunto ou perda de economia de escala. No caso sub examen, está-se diante da ocorrência de ambos os impeditivos para a adoção da adjudicação por item:a) Evidentemente seria o prejuízo para o conjunto, dadas as desvantagens técnicas, conforme amplamente demonstrado no tópico II.a, acima.b) Como se contatou no tópico II.b, acima, a perda de economia de escala se mostraria nítida, sob diversos, prismas, com expressivo prejuízo para à Administração Pública.Bastaria que apenas uma das condições acima ocorresse para que a opção pelo ‘lote único’ fosse imperativa. Diante da ocorrência simultânea, não restou alternativa ao Sebrae, sob pena de realizar uma contratação que não atenderia às suas necessidades, com um custo superior, o que seria inaceitável e desrespeitaria os princípios da Eficiência e da Economicidade.” (grifos no original).

Análise da Sefti

148. De acordo com a Súmula 247 deste Tribunal, a regra para licitações cujo objeto seja divisível é a adjudicação por itens e não por preço global, com a ressalva de que não haja prejuízo para o conjunto ou complexo ou perda de economia de escala.

149. Assim sendo, para licitar com adjudicação por preço global, a Administração deve comprovar que o parcelamento do objeto traria inviabilidade técnica e econômica para o conjunto.

150. Entretanto, as análises da Sefti nesta instrução, que consideraram os argumentos apresentados pelo Sebrae e pela empresa ISH, demonstram que seria viável técnica e economicamente parcelar o objeto da Concorrência nº 3/2010 do Sebrae e ampliar a competitividade no certame (parágrafos 55, 136 e 146).

Conclusão 4

25


151. Considerando que as análises da Sefti nesta instrução demonstraram que seria viável técnica e economicamente parcelar o objeto da Concorrência nº 3/2010 do Sebrae, conclui-se que o entendimento do TCU na Súmula 247 não foi observado pelo Sebrae.

Conclusão quanto à manifestação da empresa ISH

152. Em vista do exposto, não procedem os argumentos trazidos pela empresa ISH Ltda. (parágrafos 129, 136, 146 e 151).

Conclusões finais

153. Como as análises aqui empreendidas excederam a solicitação inicial da 5ª Secex, as conclusões estão divididas em duas partes.

Da solicitação da 5ª Secex

Item a) Quanto à viabilidade da divisão do objeto licitado

154. As justificativas apresentadas pelo Sebrae não procedem. O parcelamento do objeto da Concorrência nº 3/2010 do Sebrae Nacional não só é viável técnica e economicamente como é necessário, tendo em vista os objetivos de ampliar a competitividade no certame e reduzir os custos da contratação (parágrafo 55).

Item b) Quanto à capacidade dos equipamentos e especificações técnicas exigidas dos itens licitados

155. Considerando as evidências encontradas, pode-se concluir que algumas exigências do edital quanto às especificações técnicas dos equipamentos de prevenção de intrusos de rede e de firewalls (itens 1.1 a 1.5 das especificações do objeto) são demasiadas, pois existem equipamentos menos robustos que atenderiam as necessidades do Sebrae Nacional (parágrafo 69).

Item c) Quanto à exigência de declaração de que a licitante possui SOC

157. Além de restringir o caráter competitivo do certame, a exigência de declaração de que possui SOC do item 7.7 do Edital da Concorrência nº 3/2010 do Sebrae é irregular porque esse documento não é equiparável aos previstos no art. 12, inciso II, do Regulamento de Licitações e Contratos do Sistema Sebrae (parágrafo 82).

Item d) Quanto à restrição ao caráter competitivo no certame

158. Com relação aos itens questionados pelo denunciante, há indícios de que houve restrição à competitividade uma vez que não foi comprovado que existe algum produto, além da solução da empresa Symantec, que atende as exigências dos itens 1.7.30 e 1.7.31 das especificações do software de correlacionamento de eventos (parágrafo 117).

Outros fatos relevantes

Quanto aos questionamentos da Sefti

159. Com relação aos itens questionados pela Sefti, há indícios de que houve restrição à competitividade no certame porque:

159.1. Não foi comprovado que existe algum produto, além da solução da empresa Symantec, que atenderia a exigência do item 1.7.53 das especificações do software de correlacionamento de eventos (parágrafo 118.1).

159.2. O Sebrae exigiu integração nativa com o sistema de cache Network Appliance NetCache (item 1.11.1.22.3 das especificações do software de controle de conteúdo web), mas não apresentou evidência de que utiliza esse sistema de cache em sua infraestrutura de TI, não comprovando assim a necessidade desse requisito (parágrafo 118.2).

26


Quanto à manifestação da empresa ISH Tecnologia Ltda.

160. Não procedem os argumentos trazidos pela empresa ISH Ltda. (parágrafo 152).”

10. Após o pronunciamento da Sefti, a 5ª Secex, em conclusão constante dos pareceres uniformes às fls. 220/227, manifestou-se da seguinte forma, in verbis:

“(...)

30. Quanto aos questionamentos feitos pela 5ª Secex, o parecer apresentado pela Sefti traz conclusões no sentido de que o edital da Concorrência n.º 003/2010/Sebrae Nacional possui irregularidades que impossibilitam a continuidade do certame, especialmente em relação à: não observância da viabilidade da divisão do objeto licitado; exigências demasiadas do edital quanto às especificações técnicas dos equipamentos de prevenção de intrusos de rede e de firewalls e; restrição do caráter competitivo do certame pela exigência de declaração de que o licitante possui SOC.

31. A Sefti levantou questões adicionais, revelando a existência de restrição à competitividade no certame também em decorrência das exigências contidas nos itens 1.7.53 e 1.11.1.22.3 do edital.

32. Segundo análise realizada pela Sefti, os seguintes itens do edital contêm problemas:

a) 1.2 a 1.5 e 1.10 – Existência de componentes que não guardam relação de interdependência técnica, como firewalls (itens 1.2 a 1.5) e segurança para endpoint. Logo, a realização de uma licitação com adjudicação global foi uma opção do Sebrae, não uma imposição técnica ou de mercado;

b) 1.1 a 1.5 – Exigências demasiadas quanto às especificações técnicas dos equipamentos de prevenção de intrusos de rede e de firewall;

c) 7.7 – Exigência de declaração de que o licitante possui SOC restringe o caráter competitivo do certame;

d) 1.7.53 – Restrição de competitividade por não existir outro produto, além da solução da empresa Symantec, que atenderia à exigência;

e) 1.11.1.22.3 – Restrição de competitividade (não comprovação da necessidade desse requisito).

33. Há que se destacar, ainda, o disposto na instrução de fls. 146/157 (v. p), na qual a 5ª Secex propõe as seguintes determinações/recomendações ao Sebrae Nacional:

a) Abstenha-se de incluir, nas futuras licitações, quesitos cujo atendimento aos licitantes tenham de incorrer em despesas que sejam desnecessárias e anteriores à própria celebração do contrato ou que frustrem o caráter competitivo do certame, a exemplo da exigência de declaração das licitantes de que possuem um centro de operação de segurança (SOC), já na abertura da licitação (item 2.2.10 da instrução);

b) Adote providências com vistas a anular a Concorrência n.º 003/2010, e que utilize na licitação que vier a substituí-la, a modalidade pregão (item 2.4.22 da instrução);

c) Promova a adequação do seu regulamento de licitações e contratos de forma a estabelecer critérios para definir quando deverá ser utilizada a modalidade de licitação pregão, avaliando a conveniência e oportunidade de incluir no seu regulamento a utilização da modalidade pregão de forma obrigatória nas licitações para aquisição de bens e serviços comuns, assim considerados aqueles cujos padrões de desempenho e de qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, salvo nos casos de comprovada inviabilidade, a ser justificada pela autoridade competente, tal qual já acontece na Administração Pública Federal por força do art. 4º do Decreto Federal 5.450/2005 (item 2.4.23 da instrução).

27


34. Considerando a argumentação exposta na instrução de fls. 146/157 (v. p), bem como no parecer técnico emitido pela Secretaria de Fiscalização de Tecnologia de Informação (fls. 207/218, v. p), entende-se que a licitação deve ser anulada, por possuir vício formal quanto à modalidade, além de conter irregularidades que ferem princípios fundamentais relacionados à matéria, quais sejam: não observância da divisibilidade do objeto e exigências excessivas que restringem o caráter competitivo.

35. Verifica-se, ainda, que se faz necessário o envio ao gestor de cópia do parecer técnico emitido pela Sefti, constante das fls. 207/219 (v. p), de modo a subsidiar a elaboração de um novo edital para a contratação de solução de segurança de infraestrutura de tecnologia da informação, para que não se incorra em irregularidades semelhantes às analisadas.

Proposta de Encaminhamento

36. Pelo exposto, submete-se o presente processo à consideração superior, propondo:

I – Conhecer da presente Denúncia, com fulcro nos arts. 234/235 do Regimento Interno/TCU, para, no mérito, considerá-la procedente;

II – Determinar ao Sebrae Nacional que:

a) Adote providências com vistas a anular a Concorrência n.º 003/2010, e que utilize na licitação que vier a substituí-la, a modalidade pregão;

b) Abstenha-se de incluir, nas futuras licitações, quesitos para cujo atendimento os licitantes tenham de incorrer em despesas que sejam desnecessárias e anteriores à própria celebração do contrato ou que frustrem o caráter competitivo do certame;

III – Recomendar ao Sebrae Nacional que promova a adequação do seu regulamento de licitações e contratos de forma a estabelecer critérios para definir quando deverá ser utilizada a modalidade de licitação pregão, avaliando a conveniência e oportunidade de incluir no seu regulamento a utilização da modalidade pregão de forma obrigatória nas licitações para aquisição de bens e serviços comuns, assim considerados aqueles cujos padrões de desempenho e de qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, salvo nos casos de comprovada inviabilidade, a ser justificada pela autoridade competente, tal qual já acontece na Administração Pública Federal por força do art. 4º do Decreto Federal 5.450/2005;

IV – Encaminhar ao Sebrae Nacional cópia do parecer técnico emitido pela Sefti, constante das fls. 207/219 (v. p), de modo a subsidiar a elaboração de um novo edital para a contratação de solução de segurança de infraestrutura de tecnologia da informação, para que não se incorra em irregularidades semelhantes às analisadas;

V – Dar ciência do inteiro teor desta Decisão, bem como do Relatório e do Voto que a fundamentam, ao denunciante;

VI – Arquivar o presente processo.

11. Registro que o Sebrae, em 22/9/2010, e a empresa ISH Tecnologia Ltda, em 26/10/2010, encaminharam, respectivamente, razões de justificativas adicionais e memorial, tendo sido os documentos devidamente considerados e juntados aos autos às fls. 228/233 e à contracapa do volume principal.

VOTO

28


O presente feito merece ser conhecido como Denúncia, ante a presença dos requisitos de admissibilidade que regem a espécie, dispostos no arts. 234, caput, e 235, do Regimento Interno do TCU, e 125 da Resolução TCU nº 191/2006.

2. Registro que por meio do Despacho à fl. 159, admiti como interessada nos presentes autos empresa ISH Tecnologia Ltda., tendo em vista que a requerente ofertou o menor preço no âmbito do certame ora em análise e, considerando, ainda, que ela poderá ser diretamente alcançada pela deliberação do Tribunal neste processo.

3. Em suma, o denunciante aventa a possibilidade de direcionamento do certame em tela, conforme as alegações descritas no item 2 do Relatório precedente.

4. Registro que os procedimentos referentes ao certame em análise encontram-se suspensos, por iniciativa do próprio Sebrae, até a decisão definitiva do Tribunal (fl. 145, volume principal).

5. Sobre o mérito, as análises empreendidas pela Sefti e pela 5ª Secex, concluíram pela procedência das alegações do denunciante. De fato, verifico que apenas duas empresas participaram da licitação.

6. É preocupante a baixa participação na licitação, o que, ao meu ver, ratifica a conclusão pela restrição à competitividade, sobretudo por tratar-se de registro de preço. Apesar de o edital haver sido retirado por 53 pessoas jurídicas e 22 pessoas físicas, apenas 4 empresas participaram da licitação, sendo que duas delas não foram habilitadas. Em que pese o menor preço ofertado estar cerca de 30% abaixo do valor orientativo, a restrita participação na concorrência impõe cautela sobre a economicidade de uma possível contratação.

7. Em agravamento, tal restrição à competitividade advém de inclusão no edital de cláusula irregular. A exigência de declaração de que possui centro de operação de segurança (item 7.7 do Edital da Concorrência nº 3/2010 do Sebrae) não é equiparável ao previstos no art. 12, inciso II, do Regulamento de Licitações e Contratos do Sistema Sebrae.

8. Além disso, as evidências nos autos apontam no sentido de que algumas das exigências do edital quanto às especificações técnicas dos equipamentos de prevenção de intrusos de rede e de firewalls (itens 1.1 a 1.5 das especificações do objeto) são demasiadas. Na opinião da unidade técnica especializada em tecnologia da informação deste Tribunal, existem equipamentos menos robustos que poderiam atender às necessidades do Sebrae.

9. Outrossim, conforme demonstrado no Relatório precedente, o argumento apresentado pelo Sebrae, no sentido de que seria necessário garantir a economia de escala e otimizar o uso de recursos humanos, aplicam-se tanto para a contratação do objeto por meio de licitação com adjudicação global como para a contratação parcelada desse mesmo objeto, por meio de licitação com adjudicação por itens.

10. Ademais, a licitação com adjudicação global dos componentes de hardware, software e serviços do objeto pode ter aumentado os custos da contratação, tendo em vista a baixa competitividade observada no certame.

11. Sendo assim, considerando que a contratação não foi efetivada, não vislumbrando a existência de periculum in mora reverso, ante a restrição à competitividade verificada em decorrência de exigência irregular constante do edital e, sobretudo, por tratar-se de Concorrência para Registro de Preços, penso ser adequado que o Sebrae providencia as medidas necessárias quanto ao Edital nº 3/2010, para o cumprimento do disposto no art. 34 do Regulamento de Licitações do Sebrae.

12. Ante o exposto, coaduno-me com as conclusões constantes dos pareceres uniformes emitidos pela 5ª Secex e pela Secretaria de Fiscalização de Tecnologia da Informação (Sefti), e Voto por que o Tribunal adote a minuta de Acórdão que ora submeto à apreciação deste Colegiado.

29


TCU, Sala das Sessões Ministro Luciano Brandão Alves de Souza, em 27 de outubro de 2010.

RAIMUNDO CARREIRO Relator

ACÓRDÃO Nº 2885/2010 – TCU – Plenário

1. Processo nº TC 008.232/2010-5. 2. Grupo I – Classe VII – Assunto: Denúncia.3. Interessados/Responsáveis:3.1. Interessado: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).3.2. Responsável: Paulo Tarcisio Okamotto (CPF: 767.248.248-34), Diretor-Presidente do Sebrae Nacional.4. Entidade: Serviço Brasileiro de Apoio a Micro e Pequenas Empresas (Sebrae) – Departamento Nacional. Ministério do Desenvolvimento, Indústria e Comércio Exterior (MDIC) (vinculador).5. Relator: Ministro Raimundo Carreiro.6. Representante do Ministério Público: não atuou.7. Unidade: 5ª Secretaria de Controle Externo (SECEX-5).8. Advogados constituídos nos autos: Guilherme Lopes Mair (OAB-SP 241.701); Carlos Augusto de Andrade Jeniêr (OAB-ES 10.270); Larissa Moreira Costa (OAB-DF 16.745); Sérgio Thiago Costa Carazza (OAB-DF 23.542).

9. Acórdão:VISTOS, relatados e discutidos estes autos que tratam de Denúncia versando sobre

supostas irregularidades no Edital de Concorrência para Registro de Preços nº 3/2010, do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas Nacional (Sebrae).

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário, diante das razões expostas pelo Relator, em:

9.1. conhecer da presente Denúncia com fundamento no art. 53 da Lei 8.443/92 c/c os arts. 234 e 235, caput, do Regimento Interno deste Tribunal, para, no mérito, considerá-la procedente;

9.2. fixar, com fundamento no art. 71, inciso IX, da Constituição Federal, c/c o art. 45 da Lei nº 8.443/1992 e com o art. 251 do Regimento Interno/TCU, o prazo de 15 (quinze) dias, a contar da ciência desta deliberação, para que o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas Nacional (Sebrae) adote as medidas necessárias para o cumprimento do disposto no artigo 34 do Regulamento de Licitações e Contratos do Sistema Sebrae para cancelar a Concorrência Registro de Preços nº 3/2010;

9.3. determinar ao Serviço Brasileiro de Apoio às Micro e Pequenas Empresas Nacional (Sebrae), com fulcro no art. 71, inciso IX, da Constituição Federal e no art. 250, II, do RI/TCU, que:

30


9.3.1. caso venha realizar novo certame em substituição à Concorrência para Registro de Preços nº 3/2010:

9.3.1.1. adote a modalidade Pregão;9.3.1.2. encaminhe cópia do edital do certame ao Tribunal;9.3.2. abstenha-se de incluir, nos editais de futuras licitações, quesitos para cujo

atendimento os licitantes tenham de incorrer em despesas que sejam desnecessárias e anteriores à própria celebração do contrato ou que frustrem o caráter competitivo do certame;

9.4. recomendar ao Sebrae Nacional, com fulcro no art. 71, inciso IX, da Constituição Federal e no art. 250, III, do RI/TCU, que promova a adequação do seu regulamento de licitações e contratos de forma a estabelecer critérios para definir quando deverá ser utilizada a modalidade de licitação pregão, avaliando a conveniência e oportunidade de incluir no seu regulamento a utilização da modalidade pregão de forma obrigatória nas licitações para aquisição de bens e serviços comuns, assim considerados aqueles cujos padrões de desempenho e de qualidade possam ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, salvo nos casos de comprovada inviabilidade, a ser justificada pela autoridade competente, tal qual já acontece na Administração Pública Federal por força do art. 4º do Decreto Federal 5.450/2005;

9.5. encaminhar ao Sebrae Nacional cópia do parecer técnico emitido pela Sefti, constante das fls. 207/219 do volume principal, de modo a subsidiar, se for o caso, a elaboração de novo edital para a contratação de solução de segurança de infraestrutura de tecnologia da informação, para que não se incorra em irregularidades semelhantes às ora analisadas;

9.6. dar ciência do inteiro teor deste Acórdão, bem como do Relatório e do Voto que o fundamentam:

9.6.1. ao denunciante;9.6.2. ao Sebrae Nacional;9.6.3. ao Ministério do Desenvolvimento, Indústria e Comércio Exterior (MDIC);9.7. retirar a chancela de sigiloso dos autos;9.8. arquivar o presente processo.

10. Ata n° 40/2010 – Plenário.11. Data da Sessão: 27/10/2010 – Extraordinária de Caráter Reservado.12. Código eletrônico para localização na página do TCU na Internet: AC-2885-40/10-P.13. Especificação do quorum:13.1. Ministros presentes: Ubiratan Aguiar (Presidente), Valmir Campelo, Benjamin Zymler, Raimundo Carreiro (Relator), José Jorge e José Múcio Monteiro.13.2. Auditor convocado: Weder de Oliveira.13.3. Auditores presentes: Marcos Bemquerer Costa e André Luís de Carvalho.

(Assinado Eletronicamente)UBIRATAN AGUIAR

(Assinado Eletronicamente)RAIMUNDO CARREIRO

Presidente Relator

Fui presente:

(Assinado Eletronicamente)LUCAS ROCHA FURTADO

Procurador-Geral

31


32

tribunal de contas da união€¦ · web viewas especificações de capacidade e desempenho para...

Documents