1.

DO OBJETO:

1.1. Constitui objeto do presente PROJETO BSICO a aquisio de solues de segurana para proteo de permetro e contratao de empresa especializada para fornecimento de solues de infra-estrutura na implantao e prestao de servios continuados de operao, monitoramento e suporte tcnico, conforme detalhado nesse PROJETO BSICO, pelo prazo de 36 meses, para garantir o funcionamento eficiente e seguro das aplicaes relacionadas ao acesso internet e a segurana do ambiente corporativo. 2. DETALHAMENTO DO OBJETO: 2.1. Aquisio de SOLUO DE INFRA-ESTRUTURA (DNS/HTTP/FTP), com 03 anos de garantia, composta por equipamento, servios locais de implantao e servios remotos de operao e monitorao contnuos 24x7 da soluo, conforme tabela abaixo:
Item Tipo de Equipamento Especificaes Mnimas 2 Processadores Quad Core Intel E5504 Xeon, 2.0GHz, 4M Cache, 4.86 GT/s 8 GB de RAM 2 interfaces de rede 10/100/1000 2 discos SAS de 136GB em Raid I Gabinete para montagem em rack com no mximo 2U Quantidade

Tipo 03

01

2.2. Aquisio de SOLUO DE INFRA-ESTRUTURA (PROXY), com 3 anos de garantia, composta por equipamento no modelo de appliances (equipamento com hardware e software dedicado e customizado pelo fabricante), por servios locais de implantao e servios remotos de operao e monitorao contnuos 24x7 da soluo, conforme tabela abaixo:
Item Tipo de Equipamento (Appliance) Especificaes Mnimas o Gabinete p/ instalao em rack padro 19'' para cada appliance; o Hardware: cada appliance com, mnimo de, 2 GB (dois gigabytes) de RAM, com HD de 700 GB (setecentos gigabytes) tipo SATA; o Mnimo de 04 (quatro) interfaces Ethernet 10/100/1000 Base-T para cada appliance; o Mnimo de 01 (uma) interface serial para configurao atravs de CLI (Command Line Interface) para cada appliance; o Fonte de alimentao com tenso de entrada 110/220VAC, 50-60 Hz, suficiente para alimentar todo o equipamento na sua configurao mxima para cada appliance; o Cada appliance deve possuir no mximo 2U; Quantidade

Tipo 02

01

2.3. Aquisio de SOLUO DE SEGURANA DE PERMETRO (FIREWALL/VPN/QoS), com 3 anos de garantia, composta por equipamento no modelo de appliances (equipamento com hardware e software dedicado e customizado pelo fabricante), por servios locais de implantao e servios remotos de operao e monitorao contnuos 24x7 da soluo, conforme tabela abaixo:
Item F Tipo de Equipamento (Appliance) Tipo 01 Especificaes Mnimas Quantidade 01

Firewall Throughput de 5 Gbps

ANEXO I PROJETO BSICO

Pgina 1 de 27

IPSec VPN Throughput de 2.5 Gbps Concurrent Sessions de 500 K New Sessions Per Sec de 15 K Client-to-Site IPSec VPN Tunnels de 2 K Max Security Policies de 6 K 10/100 Interfaces (8) 10 / 100 / 1000 Interfaces (8)

2.4. Aquisio de SOLUO DE SEGURANA DE PERMETRO (IDS/IPS), com 3 anos de garantia, composta por equipamento no modelo de appliances (equipamento com hardware e software dedicado e customizado pelo fabricante), por servios locais de implantao e servios remotos de operao e monitorao contnuos 24x7 da soluo, conforme tabela abaixo:
Item Tipo de Equipamento (Appliance) Especificaes Mnimas para o GERENCIADOR Caractersticas mnimas do(s) processador(es): o Quantidade de processadores: 2 (dois); o Quantidade de cores por processador: 2 (dois); o Cache L2: 6 Mb; o Velocidade do clock : 1.86 GHz; o Barramento frontal: 1.066 MHz; Memria RAM: mnimo de 1 Gb Interfaces: mnimo 2 interfaces RJ 45 que suportem as velocidades de 10/100/1.000Mbps; Disco Rgido:mnimo de 1 disco de 40Gb; Caractersticas fsicas e de operao: o Dimenses fsicas mximas em polegadas (profundidade x largura x altura): 6.7 x 11.8 x 1.25; o Trabalhar nas tenses de 100v a 240 V; o Peso mximo: 20 Lbs o Consumo mximo: 60Watts o Produo de calor mxima: 210 BTU o Temperatura de operao: 0C - 40C Capacidade: o Armazenamento de eventos no disco local de at 2.500 eventos o Gerenciar at 03 SENSORES DE QUALQUER TIPO Quantidade

Tipo 01

01

Item

Tipo de Equipamento (Appliance)

Especificaes Mnimas para o SENSOR Taxa de Transferncia (throughput): 250 Mbps; Caractersticas mnimas do(s) processador(es): o Quantidade de processadores: 2 (dois); o Quantidade de cores/processador: 2 (dois); o Cache L2: 6 Mb; o Velocidade do clock: 1.86 GHz; o Barramento frontal: 1066 MHz; Memria RAM: mnimo de 1 Gb Interface de Monitoramento: Mnimo de 4 RJ45 com velocidade de at 1.000Mbps; Interface de Gerenciamento: Mnimo de 2 RJ45 com velocidade de at 100Mbps; Disco Rgido:

Quantidade

Tipo 03

01

ANEXO I PROJETO BSICO

Pgina 2 de 27

o mnimo de 1; o capacidade: mnima de 160Gb; o velocidade mnima: 15.000 rpm; Latncia na rede: menor que 1 milissegundo; Conexo Concorrente: mximo de 250.000 Caractersticas fsicas: o Dimenses fsicas mximas em polegadas (profundidade x largura x altura): 20 x 16.93 x 1.7; o Possuir voltagem automtica entre 100/220 V; o Consumo mximo: 630 Watts; o Temperatura de operao: 10 a 35C;

3.

JUSTIFICATIVA:

A Lei Sarbanes-Oxley, conhecida tambm como SOX, uma lei americana promulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley. O objetivo desta lei justamente aperfeioar os controles financeiros das empresas e apresentar eficincia na governana corporativa, a fim de evitar prejuzos. A lei visa garantir a transparncia na gesto financeira das organizaes, credibilidade na contabilidade, auditoria e a segurana das informaes para que sejam realmente confiveis, evitando assim fraudes, fuga de investidores, etc. Esta lei pode ser deduzida como uma Lei de Responsabilidade Fiscal Sarbanes-Oxley. Diante deste cenrio, a ao da TI de fundamental importncia nesse processo. a rea responsvel pelo controle, segurana da informao e sistemas. Portanto, dever estar alinhada na adequao desta Lei para garantir s regras de transparncia fiscal e financeira. A seo 404 da Lei Sarbanes-Oxley aborda os impactos diante da rea de tecnologia. Dentre os requisitos aplicados a TI da Lei Sarbanes Oxley, no tocante segurana da informao, obrigatrio a ferramenta de SEGURANA CONTRA TENTATIVAS DE INVASO. 3.1. Desses recursos dependem alguns servios prestados aos clientes e funcionrios da CONTRATANTE incluindo, mas no se limitando, a: 2 via de conta de servios; Atividades do Departamento de Suprimentos; Atividades de pesquisa realizadas na Internet por diversas reas; Operaes bancrias; Acesso s aplicaes da Secretaria de Fazenda; e Acesso, pela Diretoria, s informaes da empresa a partir de localidades fora da rede Interna. 3.2. Considerando o cenrio atual e futuro necessrio preparar a infra-estrutura de TI da CONTRATANTE para atender as demandas descritas anteriormente de forma que os servios prestados sejam migrados para uma infra-estrutura totalmente independente e segura para atender as seguintes demandas: 3.2.1. Ampliar e modernizar o portflio de servios relacionados conexo Internet; 3.2.2. Aumentar consideravelmente o nvel de segurana do uso da conexo Internet no que se refere a: 3.2.2.1.Disponibilidade da conexo e dos servios; 3.2.2.2.Proteo da informao sob a responsabilidade da CONTRATANTE; e 3.2.2.3.Uso indevido dos recursos disponibilizados.

ANEXO I PROJETO BSICO

Pgina 3 de 27

3.3. Em virtude do acima exposto justificamos esse PROJETO BSICO pela necessidade de adquirir solues de segurana para proteo de permetro e contratar empresa especializada para fornecimento de solues de infra-estrutura capaz de atender as demandas de servios de carter continuado pelo prazo previsto na descrio do objeto. 4. CARACTERSTICAS E REQUISITOS TCNICOS PARA SOLUES DE SEGURANA E DE INFRA-ESTRUTURA: 4.1. GERAIS: 4.1.1. Entende-se como solues relacionadas INFRA-ESTRUTURA as descries abaixo, cujas definies completas se encontram mais adiante nesse PROJETO BSICO: PROXY DNS/HTTP/FTP 4.1.2. A CONTRATADA dever prover todos os recursos necessrios envolvidos no fornecimento das solues acima que composta por: equipamentos ou appliances (hardware especificados nos itens 2.1 e 2.2) e softwares a serem utilizados desde que respeitadas as funcionalidades descritas nesse PROJETO BSICO; 4.1.3. Entende-se como solues relacionadas SEGURANA DE PERMETRO as descries abaixo, cujas definies completas se encontram mais adiante nesse PROJETO BSICO: FIREWALL/VPN/QoS IDS/IPS 4.1.4. A CONTRATADA dever prover todos os recursos necessrios envolvidos no fornecimento das solues acima que composta por: appliances (equipamento com hardware e software dedicado e customizado pelo fabricante) e licenas parte integrante de cada soluo ofertada; 4.1.5. Os seguintes recursos para implantao dos appliances e equipamentos fornecidos pela CONTRATADA sero providenciados pela CONTRATANTE: Espao fsico com climatizao e segurana de acesso; Cabeamento de rede para interligao ao switch de core da rede; Cabeamento de energia eltrica para alimentao dos equipamentos; Espao no rack de no mnimo 02 U por equipamento

Energia eltrica para alimentao dos equipamentos; 4.2. EXPERINCIA DA EMPRESA 4.2.1. A LICITANTE deve apresentar atestado(s) de capacidade tcnica no fornecimento das solues de SEGURANA DE PERMETRO e INFRA-ESTRUTURA e nos respectivos servios de IMPLANTAO e OPERAO E MONITORAO CONTNUAS 24x7, descritas neste PROJETO BSICO, conferido por empresas pblicas ou privadas, em quantidade e complexidade compatvel com o objeto deste prego. Este(s) atestado(s) deve(m) ser apresentado(s) como requisito para habilitao. 5. 5.1. TECNOLOGIAS PARA SOLUES DE SEGURANCA E DE INFRA-ESTRUTURA: DNS/HTTP/FTP:

5.1.1. A arquitetura do sistema de DNS dever prever a instalao em ao menos dois equipamentos (hardware especificado no item 2.1) e softwares com sistema operacional especializado, customizado e desenvolvido para o funcionamento em alta disponibilidade no esquema de carga balanceada (todos os dispositivos operam simultaneamente e em caso de

ANEXO I PROJETO BSICO

Pgina 4 de 27

falha de um ou mais deles os demais assumem a carga sem prejuzo para a qualidade do servio), para cada papel descrito no item a seguir; 5.1.2. O sistema de DNS dever ser aplicado com os seguintes papis claramente identificveis: 5.1.2.1.Resolvedor de nomes de domnio para estaes de trabalho e servidores da rede interna da CONTRATANTE, localizado na Zona Militarizada; 5.1.2.2.Servir, para toda a Internet, os dados dos domnios e redes IP da CONTRATANTE, localizado na Zona Desmilitarizada. 5.1.3. O sistema de DNS dever possuir, no mnimo, as funcionalidades que o tornem capaz de: 5.1.3.1.Suportar o trfego de requisies de nomes de domnio para at 3.000 estaes de trabalho e servidores da CONTRATANTE; 5.1.3.2.Suportar o trfego de requisies de dados nomes de domnio e redes IP da CONTRATANTE compatvel com a largura de banda da conexo Internet da CONTRATANTE; 5.1.3.3.Permitir o gerenciamento de zonas DNS e alterao dos parmetros de funcionamento atravs de interface web; 5.1.3.4.Suportar a criao de ilimitadas zonas DNS; 5.1.3.5.Armazenar registros (LOGS) de, no mnimo, as seguintes atividades: 5.1.3.5.1. 5.1.3.5.2. Histrico de conexes ao servio (permitidas e negadas); Histrico de erros e sucesso na soluo de nomes;

5.1.3.6.Permitir consultas on-line e gerao de relatrios customizveis peridicos de todos os registros armazenados no LOG; 5.1.4. A arquitetura do sistema de HTTP/FTP dever prever a instalao em ao menos dois equipamentos (hardware especificado no item 2.1) e softwares com sistema operacional especializado, customizado e desenvolvido para o funcionamento em alta disponibilidade no esquema de fail over (um equipamento est operacional e o segundo fica em espera para assumir as funes em caso de falha do primeiro); 5.1.5. O Sistema HTTP/FTP dever possuir, no mnimo, as funcionalidades que o tornem capaz de: 5.1.5.1.Servir dados acessados atravs do protocolo HTTP, suportar, ao menos, as seguintes linguagens de programao: 5.1.5.1.1. JSP (Apache Tomcat); 5.1.5.1.2. Plone (gerenciador de contedo); 5.1.5.1.3. Apache PHP (com suporte a Oracle OCI) + MySQL; 5.1.5.1.4. Suportar o funcionamento em cluster fail over ou load balance; 5.1.6. Armazenar registros (LOGS) de, no mnimo, as seguintes atividades: 5.1.6.1.Histrico de conexes ao servio; 5.1.6.2.Dados transferidos agrupados por origem e/ou destino; 5.1.6.3.Permitir consultas on-line e gerao de relatrios customizveis peridicos de todos os registros armazenados no LOG; 5.1.6.4.Transferncia de arquivos (download); 5.1.7. Armazenar registros (LOGS) de, no mnimo, as seguintes atividades: 5.1.7.1.Histrico de conexes ao servio (permitidas e negadas); 5.1.7.2.Dados transferidos agrupados por origem e/ou destino; ANEXO I PROJETO BSICO Pgina 5 de 27

5.1.7.3.Permitir consultas on-line e gerao de relatrios customizveis peridicos de todos os registros armazenados no LOG; 5.2. PROXY 5.2.1. A soluo dever ser composta por: appliance (equipamento com hardware e software dedicado e customizado pelo fabricante) o mesmo dever ser dimensionado para atender o trfego da unidade central da CONTRATANTE, durante todo o tempo de vigncia do contrato; 5.2.2. A soluo deve acelerar o acesso a Web usando tcnicas de cache de pginas, objetos e streaming de vdeos, economizando banda, diminuindo o tempo de resposta; 5.2.3. O Sistema Operacional dever ter as seguintes caractersticas mnimas: 5.2.3.1.Ser de desenvolvimento integrado com o hardware do web cache, ambos constituindo produtos de um mesmo fabricante; 5.2.3.2.Dever suportar o protocolo ICP para utilizao de caches em hierarquia; 5.2.3.3.Possuir Interface Grfica de Usurio (GUI): dever estar incluso todos os softwares necessrios para administrao, configurao e gerenciamento atravs de Interface Grfica de Usurios (GUI); 5.2.3.4.Dever suportar o gerenciamento atravs de interface WEB (http e https) e de linha de comando atravs de SSH; 5.2.3.5.Dever possuir mecanismos de segurana e recuperao dos objetos armazenados em disco na ocasio de falha em alguma unidade de disco; 5.2.3.6.Implementar autenticao transparente atravs de cookie ou IP; 5.2.3.7.Dever possuir suporte ao protocolo WCCP, para realizao de cache transparente; 5.2.3.8.A soluo de web cache deve ter integrao com soluo de antivrus de gateway via protocolo ICAP; 5.2.3.9.Realizar autenticao em mltiplos diretrios ao mesmo tempo, sendo eles: Local password files, NTLM, LDAP, Active Directory, eDirectory, SunOne, Netegrity Siteminder, Microsoft Kerberos, Oblix, RADIUS e certificados digitais. Usando somente um nico web cache; 5.2.3.10. Dever bloquear clientes por verso de software ou tipo de Browser (exemplo permitir que cliente utilizando Internet Explorer opere normalmente enquanto bloqueie toda requisio feita pelo Netscape). Realizando esta funo dentro do web cache sem auxilio de elementos de software ou hardware externos ao web cache; 5.2.3.11. Realizar o mapeamento de URLs. Interceptando a URL requisitada e alterando para a URL mapeada. Realizando esta funo dentro do web cache sem auxlio de elementos de softwares ou hardwares externos; 5.2.3.12. Ter a caracterstica de fazer Load Balancing e verificao de atividade (health checks) e se autoconfigurar apropriadamente quando houver falha nos servidores de antivrus detectada atravs do health check. Realizando esta funo dentro do web cache sem auxilio de elementos de software ou hardware externos; 5.2.3.13. Realizar alterao do cabealho HTTP, permitindo a substituio do cabealho http por uma palavra fixa. Para proteo de informaes confidenciais. Realizando esta funo dentro do web cache sem auxlio de elementos de software ou hardware externos; 5.2.3.14. Implementar a funo de bloquear requisies atravs de filtros de tipos de mime. Exemplo: bloquear extenses .vbe, . exe., .xls ou qualquer extenso definida pelo tipo mime. Realizando esta funo web cache sem auxilio de elementos de software ou hardware externos; 5.2.3.15. Bloquear scripts ativos como Active X, Java, Javascript, VBScript. Realizando esta funo dentro do web cache sem auxilio de elementos de software ou hardware externos;

ANEXO I PROJETO BSICO

Pgina 6 de 27

5.2.3.16. A soluo de web cache deve suportar os protocolos HTTPS e HTTP realizando a funo Proxy reverso e transparente ao mesmo tempo, no mesmo appliance; 5.2.3.17. Deve gerar registros de acesso (logs) nos formatos: Squid, World Wide Web Consortium Extended Log File Format (W3C ELFF) e customizvel; 5.2.3.18. Deve permitir a criao de grupos com diferentes perfis de utilizao de acesso a internet; 5.2.3.19. Suporte a criao de bloqueio de sites ou categorias de sites por usurio e/ou grupo e/ou tempo; 5.2.3.20. Ter a capacidade de preservar o endereo IP do cliente, mesmo em cache transparente realizando a funo de IP spoofing; 5.2.3.21. Deve possuir cache de FTP transportado em tnel de HTTP; 5.2.3.22. Deve possuir mecanismo onde o administrador do sistema possa definir determinada pgina como tela de abertura quando o browser for iniciado; 5.2.3.23. Suportar acelerao de aplicaes usando metodologias de gerenciamento de banda, otimizao de protocolos, cache de objetos, cache de byte e compresso para as aplicaes: Email (MAPI), compartilhamento de arquivos (CIFS, NFS), transferncia de arquivos (FTP), Web (HTTP), Web segura (HTTPS), Citrix, Streaming Vdeo/udio (MMS, RTSP, QuickTime, Flash); 5.2.3.24. Suportar encapsulamento socks, funo de socks Proxy; 5.3. FIREWALL/VPN/QoS 5.3.1. No appliance (equipamento com hardware e software dedicado e customizado pelo fabricante) de proteo de permetro do tipo UTM (Unified Threat Management), o mesmo dever ser dimensionado para atender o trfego da unidade central da CONTRATANTE, durante todo o tempo de vigncia do contrato; 5.3.2. A soluo dever ser composta por appliances (equipamento com hardware e software dedicado e customizado pelo fabricante) de mesmo fabricante, com as funcionalidades mnimas listadas abaixo: 5.3.2.1.Firewall 5.3.2.2.VPN IPSec 5.3.2.3.VPN SSL 5.3.2.4.QoS (Qualidade de Servio) 5.3.2.5.Armazenamento de Logs e Gerao de Relatrios (appliance dedicado) 5.3.3. Funcionalidades de Firewall: 5.3.3.1.Possuir controle de acesso internet por endereo IP de origem e destino; 5.3.3.2.Possuir controle de acesso internet por sub-rede; 5.3.3.3.Suporte a tags de VLAN (802.1q); 5.3.3.4.Possuir ferramenta de diagnstico do tipo tcpdump; 5.3.3.5.Possuir integrao com Servidores de Autenticao RADIUS, LDAP e Microsoft Active Directory; 5.3.3.6.Possuir mtodos de autenticao de usurios para qualquer aplicao que se execute sob os protocolos TCP (HTTP, HTTPS, FTP e Telnet); 5.3.3.7.Possuir a funcionalidade de traduo de endereos estticos NAT (Network Address Translation), um para um e N-para-um; 5.3.3.8.Permitir controle de acesso internet por perodos do dia, permitindo a aplicao de polticas por horrios e por dia da semana; ANEXO I PROJETO BSICO Pgina 7 de 27

5.3.3.9.Permitir controle de acesso internet por domnio, exemplo: gov.br, org.br, edu.br; 5.3.3.10. Possuir a funcionalidade de fazer traduo de endereos dinmicos, muitos para um PAT; 5.3.3.11. Suporte a roteamento dinmico dos protocolos RIP V1, V2, OSPF; 5.3.3.12. Possuir funcionalidades de DHCP Cliente, Servidor e Relay; 5.3.3.13. passivo, ou 5.3.3.14. 5.3.3.15. Capacidade de suportar Alta Disponibilidade transparente, do tipo: ativo-ativo, ativoseja, sem perda de conexes em caso de falha em um dos ns; Tecnologia de firewall do tipo Stateful Inspection; Deve permitir o funcionamento em modo transparente tipo bridge;

5.3.3.16. Permitir a criao de pelo menos 225 VLANS no padro IEEE 802.1q; 5.3.3.17. Possuir conexo entre estao de gerencia e appliance criptografada tanto em interface grfica quanto em CLI (linha de comando); 5.3.3.18. Permitir filtro de pacotes sem controle de estado stateless para verificao em camada 2; 5.3.3.19. Permitir forwarding de camada 2 para protocolos no IP; 5.3.3.20. Suportar forwarding de multicast; 5.3.3.21. Permitir criao de servios por porta ou conjunto de portas dos seguintes protocolos, TCP, UDP, ICMP e IP; 5.3.3.22. Permitir o agrupamento de servios; 5.3.3.23. Permitir o filtro de pacotes sem a utilizao de NAT; 5.3.3.24. Suporte de no mnimo 1024 regras/polticas de firewall; 5.3.3.25. Permitir a abertura de novas portas por fluxo de dados para servios que requerem portas dinmicas; 5.3.3.26. Possuir mecanismo de anti-spoofing; 5.3.3.27. Permitir criao de regras definidas por usurio; 5.3.3.28. Permitir o servio de autenticao para HTTP e FTP; 5.3.3.29. Deve permitir IP/MAC binding, permitindo que cada endereo IP possa ser associado a um endereo MAC gerando maior controle dos endereos internos e impedindo o IP spoofing; 5.3.3.30. O dispositivo dever ter tcnicas de deteco de programas de compartilhamento de arquivos (peer-to-peer) e de mensagens instantneas, suportando ao menos: Yahoo! Messenger, MSN Messenger, ICQ, AOL Messenger, BitTorrent, eDonkey, GNUTella, KaZaa, Skype e WinNY com as seguintes funcionalidades: 5.3.3.30.1. Identificar o nome do usurio do programa de mensagens instantneas e permitir especificar acessos de acordo com o usurio; 5.3.3.30.2. Controlar (permitir ou negar) transferncia de arquivos no AOL Messenger, ICQ, MSN & Yahoo! Messenger; 5.3.3.30.3. Controlar (permitir ou negar) conversas via udio no AOL Messenger, ICQ, MSN & Yahoo! Messenger; 5.3.3.30.4. Controlar (permitir ou negar) transferncia de fotos no AOL Messenger, ICQ, MSN & Yahoo! Messenger; 5.3.3.30.5. Controlar (permitir ou negar) sesses criptografadas no AOL Messenger, ICQ, MSN & Yahoo! Messenger; 5.3.4. Funcionalidades de QoS (Qualidade de Servio): ANEXO I PROJETO BSICO Pgina 8 de 27

5.3.4.1.Permitir o controle e a priorizao do trfego, priorizando e garantindo banda para as aplicaes (inbound/outbound) atravs da classificao dos pacotes (Shaping), criao de filas de prioridade, gerncia de congestionamento e QoS; 5.3.4.2.Permitir modificao de valores DSCP (Differentiated Services Code Point) para o DiffServ (Differentiated Services); 5.3.4.3.Limitar individualmente a banda utilizada por programas de compartilhamento de arquivos do tipo peer-to-peer; 5.3.5. Funcionalidades de VPN: 5.3.5.1.Possuir algoritmos de criptografia para tneis VPN: AES, DES, 3DES; 5.3.5.2.Suporte a certificados PKI X.509 para construo de VPNs; 5.3.5.3.Possuir suporte a VPNs IPSec site-to-site, VPNs IPSec client-to-site e SSL VPN; 5.3.5.4.Possuir capacidade de realizar SSL VPNs utilizando certificados digitais; 5.3.5.5.A VPN SSL deve possibilitar o acesso a toda infra-estrutura da empresa de acordo com a poltica de segurana, atravs de um plug-in ActiveX e/ou Java; 5.3.5.6.Possuir hardware acelerador criptogrfico para incrementar o desempenho da VPN; 5.3.5.7.Deve permitir a arquitetura de vpn hub and spoke e possuir a funcionalidade de SSL VPN; 5.3.5.8.Suporte a VPN do tipo PPTP, L2TP; 5.3.5.9.Suporte a incluso em autoridades certificadoras (enrollment) mediante SCEP (Simple Certificate Enrollment Protocol) e mediante arquivos; 5.3.6. Funcionalidades de Armazenamento de Logs e Gerao de Relatrios: 5.3.6.1.Deve ser fornecido appliance (equipamento com hardware e software dedicado e customizado pelo fabricante) dedicado a esta funo; 5.3.6.2.Deve ser capaz de receber logs de pelo menos 80 dispositivos; 5.3.6.3.Possuir a visualizao de log em tempo real de trfegos de rede; 5.3.6.4.Permitir a visualizao de logs de histrico dos acessos de trfegos de rede; 5.3.6.5.Permitir a visualizao dos eventos de auditoria; 5.3.6.6.A soluo deve possuir plataforma de log especializada de segurana, com no mnimo 1 TB de armazenamento; 5.3.6.7.Permitir realizao de backup e restaurao dos dados; 5.3.6.8.Permitir o envio dos logs a outro centralizador de log externo soluo; 5.3.6.9.Atuar como um NAS (Network Attached Storage); 5.3.6.10. Possuir pelo menos 20 tipos de relatrios pr-definidos na soluo; 5.3.6.11. Permitir gerao de relatrios agendados ou sob demanda nos formatos HTML e PDF; 5.3.6.12. Permitir o envio dos relatrios gerados conforme item anterior atravs de e-mail para usurios pr-definidos; 5.3.6.13. Disponibilizar relatrios atravs de FTP; 5.4. IDS/IPS 5.4.1. A soluo dever ser composta por appliances (equipamento com hardware e software dedicado e customizado pelo fabricante) de mesmo fabricante, com as funcionalidades mnimas listadas abaixo: 5.4.1.1.Gerenciador (appliance dedicado, conforme a descrio no item 2.4) ANEXO I PROJETO BSICO Pgina 9 de 27

5.4.1.2.Sensores (appliance dedicado, conforme a descrio no item 2.4) 5.4.2. O sistema de preveno e deteco de intruso (IDS/IPS) dever detectar, prevenir ou interromper o trfego de rede que tenha como finalidade ou efeito colateral causar danos informao, indisponibilidade de sistemas ou ainda o consumo no autorizado de recursos da rede da CONTRATANTE; 5.4.3. O sistema dever capturar e analisar todo o trfego dos segmentos de rede que estiver protegendo. No escopo desse PROJETO BSICO, o IDS/IPS dever proteger a zona desmilitarizada, e o gateway das zonas militarizadas. A anlise dever detectar padres de trfego potencialmente danosos ou fora das polticas estabelecidas pela administrao da rede. Dessa anlise devero resultar alertas imediatos para as equipes de monitoramento da CONTRATADA bem como aes automticas pr-configuradas de mitigao dos riscos encontrados. Tambm deve ser possvel extrair informaes gerenciais que permitam planejar o uso mais eficiente e seguro dos recursos computacionais da CONTRATANTE; 5.4.4. Para permitir a evoluo da aplicao para os demais segmentos da rede interna da CONTRATANTE, o sistema dever permitir o uso de diversos dispositivos de coleta, porm todos os dados capturados por estes devero ser enviados de forma segura, armazenados e analisados em dispositivos centrais que podero ser replicados e/ou combinados hierarquicamente para aumentar a performance ou garantir a disponibilidade. Para tal a aplicao IDS/IPS dever ter dois dispositivos bsicos: gerenciador e sensores; 5.4.5. CARACTERSTICAS DO GERENCIADOR: 5.4.5.1.O software deve ser executado no Gerenciador e/ou sensores do sistema sendo minimamente intrusivo, portanto no dever demandar a instalao de agentes nos equipamentos da rede a serem protegidos. 5.4.5.2.O software deve ser capaz de capturar e analisar trfego de equipamentos de rede com qualquer sistema operacional e interagir com servidores de diretrio para identificao de usurios, ao menos, com sistemas que compatveis com LDAP ou Microsoft AD. 5.4.5.3.O software dever possuir, no mnimo, as funcionalidades que o tornem capaz de: 5.4.5.3.1. Permanentemente identificar e catalogar os servidores ligados rede, suas configuraes, sistema operacional, servios, protocolos e vulnerabilidades reais e potenciais sem a necessidade de realizar varreduras; 5.4.5.3.2. Complementar as informaes coletadas passivamente nos servidores com informaes coletadas atravs de varreduras ativas; 5.4.5.3.3. Alertar sobre novos servidores ligados a rede ou sobre modificaes em servidores j existentes e interagir com a finalidade de disparar processos de varredura nesses servidores e complementar a informao coletada passivamente; 5.4.5.3.4. Identificar os usurios da rede e suas atividades a partir da interao com os servidores de diretrio; 5.4.5.3.5. Identificar os usurios de rede e servidores relacionados aos eventos detectados pelo sistema, permitindo que sejam fornecidos na interface de gerenciamento dos eventos os dados dos endereos IP utilizados, dados do usurio obtidos no servio de diretrio tais como login, nome, e-mail e telefone - e/ou dados de configurao dos servidores; 5.4.5.3.6. Identificar servidores conectados a rede que apresentem comportamento anormal potencialmente danoso, tal como a propagao de malwares, atravs da comparao com padres conhecidos e atravs de inferncia baseada na mudana de comportamento; 5.4.5.3.7. Catalogar as vulnerabilidades encontradas pela anlise do comportamento, associlas aos servios e sistemas operacionais identificados na rede e a um banco de dados de vulnerabilidades conhecidas e criar regras automticas para bloqueio de comportamento efetivamente ou potencialmente danoso; ANEXO I PROJETO BSICO Pgina 10 de 27

5.4.5.3.8. Identificar as anomalias no trfego entre servidores da rede e entre estes e dispositivos externos; 5.4.5.3.9. Verificar a conformidade do comportamento de servidores e usurios da rede em relao a polticas de segurana previamente inseridas; 5.4.5.4. Executar o bloqueio automtico ou manual de equipamentos ou usurios cujo comportamento esteja fora de conformidade com as polticas estabelecidas, ou seja, identificado como efetivamente ou potencialmente danoso atravs de interao com os demais dispositivos do sistema e com os dispositivos abaixo listados: 5.4.5.4.1. Firewalls: pelo menos dos fabricantes Cisco, Checkpoint e Microsoft. 5.4.5.4.2. Roteadores e Swicthes: pelo menos dos fabricantes Cisco e 3Com. 5.4.5.5. Configurar de forma automtica e dinmica o funcionamento dos Sensores para: 5.4.5.5.1. inspecionar trfego de rede em portas fora do padro (no well-known ports) baseado no conhecimento dos servios e portas utilizadas pelos mesmos em cada servidor protegido; 5.4.5.5.2. desabilitar as regras de verificao que no se aplicam aos servidores protegidos; 5.4.5.5.3. reconstituir, para fins de anlise, o trfego de rede para cada servidor no formato utilizado pelo sistema operacional do referido servidor; 5.4.5.6.Emitir alertas automticos sobre eventos relevantes, pelo menos atravs de: 5.4.5.6.1. E-mail; 5.4.5.6.2. SNMP 5.4.5.6.3. Interao com Software de Security Event Managment (SIEM) que utilizem o padro Syslog; 5.4.5.7.Monitorar o consumo de banda de rede e identificar gargalos, picos de utilizao e modificao repentinas de padro associando-os a usurios, equipamentos e aplicaes; 5.4.6. FUNCIONALIDADES DO GERENCIADOR 5.4.6.1.O Gerenciador dever ser no modelo de appliance (equipamento com hardware e software dedicado e customizado pelo fabricante). 5.4.6.2.Cada Gerenciador dever ser capaz de gerenciar vrios dispositivos sensores. Quando for necessrio gerenciar mais dispositivos sensores que a capacidade do Gerenciador em uso deve ser possvel combin-lo a outro Gerenciador em arquitetura hierrquica de modo que continue existindo apenas um nico ponto central de gerenciamento de configuraes, polticas, alertas e aes para at 03 SENSORES de segmento de rede. 5.4.6.3.Deve ser possvel combinar o Gerenciador utilizado de forma a obter tolerncia a falhas em um ou mais equipamentos. 5.4.6.4.O Gerenciador deve possuir capacidade de armazenamento local para eventos e deve ser possvel exportar os eventos no formato Syslog para armazenamento em outros locais e para integrao com software de SIEM. 5.4.6.5.Deve estar disponvel API (Application Program Interface) aberta e documentada para integrao com produtos de outros fabricantes que exeram as funes tais como Firewall, NAC, SIEM, DLP, PATCH MANAGMENT. 5.4.6.6.O Gerenciador dever possuir, no mnimo, as funcionalidades que o tornem capaz de: 5.4.6.6.1. Permitir que os administradores executem remotamente, atravs de interface web com criptografia SSL, as atividades de gerenciamento; 5.4.6.6.2. Permitir que os administradores executem remotamente, atravs de CLI (Command Line Interface) usando os servios Telnet ou SSH, as atividades de gerenciamento;

ANEXO I PROJETO BSICO

Pgina 11 de 27

5.4.6.6.3. Criar usurios com diferentes papis no uso do sistema de gerenciamento sendo que a definio de direitos cada papel deve permitir a associao a tarefas discretas efetuadas da interface; 5.4.6.6.4. Criar e aplicar de forma centralizada todas as regras de configurao dos SENSORES e do SOFTWARE GERENCIADOR PARA USURIO E/OU EQUIPAMENTO PROTEGIDO. Aps a instalao inicial deve ser possvel gerir todo o sistema a partir da interface do Gerenciador; 5.4.6.6.5. Dividir os demais componentes do sistema em grupos de forma a permitir a aplicao de regras de configurao a um SENSOR, a um grupo de SENSORES, a vrios grupos de SENSORES e a todos os SENSORES. 5.4.6.6.6. Coletar e apresentar os seguintes dados sobre os SENSORES gerenciados e sobre si prprio: status (online ou offline), carga total, consumo de CPU, temperatura e capacidade disponvel no disco; 5.4.6.6.7. Gerar relatrios totalmente customizveis pelos usurios, que possam incluir os dados brutos e resultados de anlises, ao menos nos formatos PDF, HTML e CVS; 5.4.6.6.8. Automatizar a produo e envio por e-mail dos relatrios criados; 5.4.6.6.9. Criar, atravs de interface grfica, painis de controle especficos para cada usurios que possam conter toda a informao disponvel a que o usurio tem acesso. Esses pineis, quando necessrio, devem rotacionar as informaes exibidas em uma determinada rea para permitir que um mesmo painel acomode um grande nmero de informaes; 5.4.6.6.10. Associar painel criado por um usurio a outros usurios que tenham os mesmos direitos de acesso a informao; 5.4.6.6.11. Identificar mudanas no ambiente monitorado em tempo real e permitir que, pelo menos, as seguintes aes sejam disparadas: 5.4.6.6.12. Criar alertas configurveis, por usurio, baseados na ocorrncia de eventos discretos, em mudanas de comportamento ou em atingimento de limites que sejam enviados automaticamente para os usurios que os criaram pelo menos atravs de e-mail; 5.4.6.6.13. Criar fluxos de trabalho customizveis que indiquem os usurios o roteiro para investigar cada tipo de evento; 5.4.6.6.14. Agendar e controlar o sucesso ou insucesso da execuo de tarefas administrativas comuns incluindo, mas no se limitando a: backup de eventos e configuraes do gerenciador e de sensores, gerao de relatrios, atualizao de software disponibilizada pelo fabricante do sistema, aplicao e remoo de regras para usurios e equipamentos; 5.4.6.6.15. Exibir ataques em tempo real indicando o tipo de ataque, origem, destino e fluxo de dados; 5.4.6.6.16. Correlacionar os tipos de ataques com as informaes sistema operacional, servios, portas, aplicaes e outras - sobre os servidores alvo de cada ataque a fim de determinar a relevncia de cada ataque; 5.4.6.6.17. Priorizar os alertas de ataques com base no nvel de relevncia citado anteriormente classificando-os em ao menos 4 nveis de relevncia; 5.4.6.6.18. Criar um mapa de comportamento da rede que permita visualizar os comportamentos e status de cada dispositivo e de segmentos da rede antes de ataques, durante ataques e depois dos ataques; 5.4.6.6.19. Exibir grficos informando o consumo de banda da rede de cada equipamento ou usurio protegido;

ANEXO I PROJETO BSICO

Pgina 12 de 27

5.4.6.6.20. Exibir grficos informando o nmero de pacotes recebidos e descartados pelos sensores por segmento de rede, por origem e por destino ou por qualquer combinao dos trs anteriores; 5.4.6.6.21. Exibir todo o trfego analisado nos segmentos da rede em formato bruto contendo o cabealho e payload dos pacotes e informar que regra foi ativada por cada pacote; 5.4.6.6.22. Exportar o trfego analisado no formato PCAP (Packet Capture) para armazenamento em outros dispositivos; 5.4.6.6.23. Exibir o estado de todas as sesses alm de informaes como hora de incio e trmino, portas usadas, quantidade de informao trocada e servios ativados; 5.4.6.6.24. Gerenciar qualquer dispositivo sensor baseado no software SNORT; 5.4.7. FUNCIONALIDADES DOS SENSORES: 5.4.7.1.Os Sensores devero ser no modelo de appliances (equipamento com hardware e software dedicado e customizado pelo fabricante). 5.4.7.2.Cada Sensor deve se comunicar com um ou mais Gerenciadores recebidos anteriormente para transferncia dos dados de trfego e recebimento das configuraes de funcionamento. 5.4.7.3.Os Sensores devem possuir capacidade de armazenamento local para eventos e deve ser possvel exportar os eventos no formato Syslog para armazenamento em outros locais e para integrao com software de SIEM. 5.4.7.4.Deve estar disponvel API (Application Program Interface) aberta e documentada para integrao com produtos de outros fabricantes que exeram as funes tais como: Firewall, NAC, SIEM, DLP, PATCH MANAGEMENT. 5.4.7.5.Os Sensores devero possuir, no mnimo, as funcionalidades que o tornem capaz de: 5.4.7.5.1. Monitorar todo o trfego de rede para bloquear trfego proveniente de atividades maliciosas ou indesejadas; 5.4.7.5.2. Interagir com os dispositivos listados a seguir para executar aes de bloqueio ou preveno contra trfego malicioso ou indesejado: 5.4.7.5.2.1. Firewalls: pelo menos dos fabricantes Cisco, Checkpoint e Microsoft. 5.4.7.5.2.2. O IPS precisa ser capaz de solicitar ao firewall o bloqueio da porta ou ip do dispositivo quando uma poltica for violada. 5.4.7.5.2.3. Roteadores e Swicthes: pelo menos dos fabricantes Cisco e 3Com. 5.4.7.6. Atuar nos modos inline e opcionalmente passivo em qualquer circunstncia; 5.4.7.7. Atuar como IPS e opcionalmente como IDS; 5.4.7.8. Permitir que o trfego de rede seja contnuo em caso de falha de software ou Hardware do Sensor; 5.4.7.9. Armazenar e utilizar uma base de ao menos 14.000 regras sobre padres de trfego que devem ser bloqueados; 5.4.7.10. Possuir regras/assinaturas aderentes aos padres SOX (Sarbanes-Oxley); 5.4.7.11. Possuir regras e assinaturas para ameaas listadas na SANS Top 20; 5.4.7.12. Atualizar permanentemente a base de regras de modo a mant-la atualizada contra novas vulnerabilidades e padres de trfego malicioso em at 48hs aps a sua ampla divulgao e conhecimento; 5.4.7.13. Armazenar informaes sobre o consumo de banda da rede de cada equipamento ou usurio protegido; ANEXO I PROJETO BSICO Pgina 13 de 27

5.4.7.14. Armazenar informaes sobre o nmero de pacotes recebidos e descartados pelos sensores por segmento de rede, por origem e por destino ou por qualquer combinao dos trs anteriores; 5.4.7.15. Armazenar informaes sobre o trfego analisado nos segmentos da rede em formato bruto contendo o cabealho e payload dos pacotes e informar que regra foi ativada por cada pacote; 5.4.7.16. Armazenar informaes sobre trfego analisado com o estado de todas as sesses alm de informaes como hora de incio e trmino, portas usadas, quantidade de informao trocada e servios ativados; 5.4.7.17. Permitir insero de novas regras e assinaturas sem interrupo de trfego; 5.4.7.18. Identificar, por pacote, quais regras foram ativadas; 5.4.7.19. Manter dados sobre ataques, com o nmero de vezes que ocorreu um ataque, quando e de que forma ele ocorreu, com informaes sobre quais aplicaes foram usadas; 5.4.7.20. Suportar o funcionamento em linha, porm sem bloqueio dos ataques alertando quais eventos seriam bloqueados caso a configurao esteja ativada; 5.4.7.21. Permitir o bloqueio dinmico de trfego a partir do endereo IP e porta da origem, endereo IP e porta do alvo ou uma combinao de ambos por um perodo especfico de tempo a partir de um ataque detectado; 5.4.7.22. Possibilitar a visualizao das conexes bloqueadas e remoo das regras automticas de bloqueio a qualquer tempo; 5.4.7.23. Suportar a anlise do trfego de rede em modo passivo sem interferncia no segmento possibilitando mesclar o monitoramento transparente (em modo bridge) com o modo passivo de forma independente entre as interfaces de rede; 5.4.7.24. Capturar e armazenar o perfil comportamental de cada dispositivo de rede constitudo ao menos de: 5.4.7.24.1.MAC address; 5.4.7.24.2.Sistema Operacional; 5.4.7.24.3.Servios e portas utilizadas; 5.4.7.24.4.Tipo e volume de trafego; 5.4.7.24.5.Aplicativos; 5.4.7.24.6.Vulnerabilidades associadas a cada perfil de dispositivo; 5.4.7.25. Capturar e armazenar o perfil comportamental da rede constitudo ao menos de: 5.4.7.25.1.Contagem de hops; 5.4.7.25.2.TTL (Time-To-Live); 5.4.7.25.3.MTU (Maximum Transmission Unit); 5.4.7.26. Detectar e armazenar eventos de indicativos de mudanas na rede, tais como: 5.4.7.26.1.Novos dispositivos; 5.4.7.26.2.Dispositivos modificados servios, portas, aplicaes; 5.4.7.26.3.Dispositivos com comportamento anmalo; 5.4.7.27. Capturar informaes de usurios e de servidores tais como: verses, servios ativos, IPs e MACs; 5.4.7.28. Possibilitar visualizar usurios que esto executando aplicativos no padres; 5.4.7.29. Integrao nativa com Nmap; ANEXO I PROJETO BSICO Pgina 14 de 27

5.4.7.30. Suportar IPv6 nativo, e trfego de IPv6 via tunelamento em pacotes IPv4; 5.4.7.31. Fornecer informaes em tempo real de anlise de impacto; 5.4.7.32. Permitir configurao de mltiplas polticas de preveno de incidentes; 5.4.7.33. Suportar Fail-Open, isto , aceitar a passagem de trfego mesmo com o sensor indisponvel por qualquer motivo; 5.4.7.34. Usar autenticao forte e mecanismos de criptografia para todos os componentes da soluo; 5.4.7.35. Remontar todos os fluxos de pacote fragmentados ou no; 5.4.7.36. Permitir reinicializao do sensor sem interrupo de trfego; 5.4.7.37. Possibilitar a visualizao, edio e criao de regras; 5.4.7.38. Possibilitar a inspeo da qualidade das assinaturas e das regras; 5.4.7.39. Permitir a criao de assinaturas para protocolos no padro; 5.4.7.40. Possuir mecanismo de atualizao automtica de suas assinaturas; 5.4.7.41. No reescrever regras modificadas por usurio; 5.4.7.42. Permitir forma rpida de habilitar e desabilitar regras; 5.4.7.43. Aceitar regras que verifiquem injeo maliciosa de comandos em payloads (command injection); 5.4.7.44. Permitir a incluso de informaes oriundas de ferramentas de varredura de terceiros; 5.4.7.45. Reportar aplicaes no autorizadas de acordo com a poltica sendo executadas; 5.4.7.46. Identificar servios rodando em portas no autorizadas de forma passiva; 5.4.7.47. Possuir soluo de scanning passivo, sem a necessidade de instalao de qualquer componente; 5.4.7.48. Possuir mecanismos de reduo de falsos-positivos associados com deteco de assinatura procurando por um ataque somente quando ocorrer um trfego relevante ou atravs de mecanismo de correlao; 5.4.7.49. Analisar protocolos na camada de rede, de transporte e de aplicao buscando por padres conhecidos de ataques e aplicaes maliciosas; 5.4.7.50. Ser configurvel atravs de CLI (command line interface), usando os servios Telnet ou SSH, por interface grfica, com SNMP e com a MIB especfica do equipamento; 5.4.7.51. Detectar anomalias em protocolos; 5.4.7.52. Identificar ataques que utilizam trfego interativo; 5.4.7.53. Identificar ataques com mltiplos fluxos; 5.4.7.54. Possibilitar a criao de listas Brancas (White Lists); 5.4.7.55. Medir o tempo total gasto para processar pacotes e capacidade de paralisar a inspeo de pacotes, caso o tempo de processamento seja superior ao limite configurado; 5.4.7.56. Configurar o tempo que cada regra tem para processar cada pacote, suspendendo a regra por caso o tempo exceda, por consecutivas vezes, o tempo configurado e retorno da regra aps perodo de tempo pr-determinado; 5.4.7.57. Possuir certificao ICSA (http://www.icsalabs.com/icsa/topic.php?tid=fdghgf54645ojojoj567)

ANEXO I PROJETO BSICO

Pgina 15 de 27

6.

IMPLANTAO:

6.1. A CONTRATADA dever apresentar, em at 05 dias teis aps a assinatura do contrato, um Plano de Implantao dos Produtos e Servios (cronograma), que dever contemplar os seguintes requisitos: 6.1.1. Disponibilizar o desenho esquemtico de cada soluo a ser aplicado ao ambiente da CONTRATANTE; 6.1.2. A CONTRATANTE dever, em at 10 (dez) dias, a partir do recebimento formal do Plano de Implantao dos Produtos e Servios (cronograma), se manifestar sobre sua aprovao, sendo concedido CONTRATADA, caso necessrio, novo prazo de 3 (trs) dias para eventuais ajustes e reapresentao do Plano de Implantao dos Produtos e Servios (cronograma) final. 6.1.3. A CONTRATADA dever entregar a soluo ofertada, concluir a implantao e disponibilizar o servio no prazo mximo de 90 (noventa) dias, contados a partir da aprovao do Plano de Implantao dos Produtos e Servios (cronograma) final. 6.1.4. A CONTRATADA ser responsvel pela instalao, integrao, configurao e testes de todos os produtos componentes de cada soluo fornecida, em conformidade com o Plano de Implantao dos Produtos e Servios aprovado pela CONTRATANTE. 6.1.5. Havendo necessidade de interrupo de sistemas, recursos, equipamentos ou da rotina dos trabalhos de qualquer setor funcional em decorrncia da instalao a ser efetuada, esta dever estar devidamente planejada e ser necessariamente aprovada pela CONTRATANTE; 6.1.6. Para a execuo dos servios fica estabelecido o horrio de funcionamento normal da CONTRATANTE; 6.1.7. Em caso de necessidade de execuo dos servios durante os finais de semana, solicitados pela CONTRATADA, ou mesmo em horrios distintos ao estabelecido, ser necessria prvia autorizao da CONTRATANTE; 6.1.8. No caso de ser necessrio realizar trabalhos fora do horrio de expediente por necessidade de servio da CONTRATANTE esta condio ser mandatria e constar do plano de execuo; 6.1.9. Obrigatoriamente, a CONTRATADA dever elaborar Relatrio Tcnico analisando os resultados e entreg-lo CONTRATANTE para que ateste a concluso do servio de instalao e configurao; 7. SERVIOS DE OPERAO E MONITORAO CONTNUOS

7.1. Para a prestao do servio contnuo de Operao e Monitorao, devero ser atendidos os requisitos abaixo: 7.1.1. A LICITANTE deve possuir no mnimo 02 (dois) Centros de Operao de Segurana prprios (SOC), ambos localizados no Brasil, de modo que a indisponibilidade de um deles no afete nenhum aspecto dos servios prestados. 7.1.2. Os SOC devem estar localizados em cidades diferentes e a no mnimo 120 km de distncia um do outro. 7.1.3. Os SOC devero possuir alta disponibilidade, devendo estar instalados em local que atenda aos seguintes requisitos mnimos: 7.1.3.1.Sistemas redundantes para armazenamento de dados, links de telecomunicao e alimentao de energia; 7.1.3.2.Gerador de energia para as reas privativas, sendo o mesmo acionado automaticamente em caso de falta de energia e fornecer energia estabilizada em at 2 minutos aps a partida. 7.1.3.3.O gerador de energia deve suportar a demanda das instalaes por at 12 horas sem necessidade de reabastecimento. ANEXO I PROJETO BSICO Pgina 16 de 27

7.1.3.4.Possua UPS que suporte todos os equipamentos essenciais ao funcionamento por at 30 minutos. 7.1.3.5.Efetue registro dos visitantes com identificao individual e controle digital de entrada e sada, mantendo o registro armazenado para consulta por ao menos 90 dias. 7.1.3.6.Possua circuito interno de registro e gravao de imagem em todas as reas de circulao. 7.1.3.7.Funcione em regime 24 x 7. 7.1.3.8.Possua sistema de refrigerao de conforto central. 7.1.3.9.Possua estrutura central para visualizao dos painis dos sistemas de suporte tcnico, monitorao e operao contnuos, permitindo que todos os profissionais visualizem eventos relevantes simultaneamente. 7.1.4. A infra-estrutura de monitorao da LICITANTE (servidores, appliances, outros equipamentos, software etc) deve estar hospedada em pelo menos 2 data centers, localizados em cidades diferentes e a no mnimo 120 km de distncia um do outro, de modo que a indisponibilidade de um deles no afete nenhum aspecto dos servios prestados, devendo atender ao abaixo: 7.1.4.1.Os ativos de TI empregados no monitoramento (servidores, rede, software etc) devero estar hospedados em ambiente adequado norma ABNT NBRISO/IEC 27002:2005 e que atenda, no mnimo, s exigncias da classificao TIER III do Uptime Institute (http://uptimeinstitute.org/wp_pdf/TUI705DTierClassification_WP.pdf), visando garantir nveis de performance e redundncia compatveis com a necessidade da operao contnua da CONTRATANTE; 7.1.4.2.Possuir estrutura de armazenamento de dados que permita a manuteno dos registros dos eventos relacionados aos servios. 7.1.5. Cada um dos data centers deve atender s seguintes especificaes: 7.1.5.1.Possuir dispositivos redundantes para estrutura de rede, fornecer energia eltrica e controle de temperatura. Cada um destes dispositivos deve ter capacidade para manter a operao isoladamente em caso de manuteno planejada ou falha. Os dispositivos que devem ser considerados nessa especificao so: a. Transformadores isoladores b. c. d. e. f. g. h. UPS Geradores Torres de refrigerao Chillers CRAC units Roteadores Swicthes de core

i. Swicthes de distribuio 7.1.5.2.Possuir caminhos de distribuio de energia eltrica, fluidos e gases para refrigerao e conexes de rede local redundante de modo que um caminho permanea ativo e o outro possa ser utilizado como alternativa em caso de manuteno planejada ou falha. Os sistemas de distribuio que devem ser considerados nessa especificao so: a. Cabine para recebimento de energia externa b. Cabeamento de transmisso de energia c. Quadros de distribuio Pgina 17 de 27

ANEXO I PROJETO BSICO

d. e.

Dutos de gua gelada Cabos para conexes de rede

7.1.5.3.Possuir mltiplas entradas independentes para fornecimento de energia eltrica. Cada entrada para fornecimento de energia eltrica deve ser capaz de isoladamente suportar a operao do Data Center; 7.1.5.4.Possuir mltiplas conexes independentes para acesso a Internet. Cada conexo para acesso a Internet deve ser capaz de isoladamente suportar a operao do Data Center; 7.1.5.5.Os sistemas utilizados para monitorar e administrar as aplicaes devem estar conectados Internet por pelo menos trs conexes independentes e redundantes utilizando o protocolo BGP-4 para roteamento do trfego pelas diversas conexes; 7.1.5.6.Possuir a tecnologia em preveno e extino de incndios utilizando gs Fm200, monitorada continuamente de forma que, em caso de um evento, apenas o andar ou segmento seja afetado, enquanto os outros andares continuam a operar normalmente. 7.1.5.7.A preveno e extino de incndios deve contar com pelo menos 2 sistemas redundantes e independentes, que tenham: 7.1.5.7.1. Monitoramento inico do ar atravs de sensores de alta sensibilidade. 7.1.5.7.2. Detectores de fumaa e incndio. 7.1.6. A LICITANTE dever estar capacitada a prestar Assistncia e Suporte Tcnico, considerando os requisitos abaixo: 7.1.6.1.A abertura de chamados para Assistncia e Suporte Tcnico ser efetuada por sistema web ou por telefone. No caso de abertura atravs de telefone, o contato ser efetuado atravs de nmero nacional isento de tarifao telefnica (por exemplo, prefixo 0800), devendo o atendimento ser efetuado em lngua portuguesa; 7.1.6.2.Sero de competncia da Assistncia e Suporte Tcnico os seguintes servios: 7.1.6.2.1. Atendimento de solicitaes ou reclamaes - destinadas a prestao de esclarecimentos tcnicos e operacionais, atividades e utilizao rotineira das solues fornecidas aps o perodo de implantao da soluo - 24 horas por dia, todos os dias do ano, incluindo feriados e finais de semana; 7.1.6.2.2. Efetuar o registro de solicitaes, sugestes, reclamaes e elogios e apresentar ao final de cada ms um resumo de todos os registros e do tratamento dado; 7.1.6.2.3. Garantia de atendimento de um nmero ilimitado de solicitaes; 7.1.6.2.4. Iniciar o atendimento de ao menos 98% das solicitaes nos seguintes prazos mximos: 7.1.6.2.4.1. Dvidas ou alterao de configurao (P3): 6 horas 7.1.6.2.4.2. Servio com performance inadequada (P2): 4 horas 7.1.6.2.4.3. Servio indisponvel (P1): 60 minutos. 7.1.6.2.5. Terminar o atendimento de ao menos 98% das solicitaes nos seguintes prazos mximos: 7.1.6.2.5.1. Dvidas ou alterao de configurao (P3): 48 horas 7.1.6.2.5.2. Servio com performance inadequada (P2): 24 horas 7.1.6.2.5.3. Servio indisponvel (P1): 8 horas 7.1.6.2.6. Prioridade (1) - Ocorrncia de alto impacto/ Falha verificada em um componente da Soluo de Segurana ou de Infra-estrutura que ocasione parada total ou parcial das atividades do ambiente da CONTRATANTE. ANEXO I PROJETO BSICO Pgina 18 de 27

7.1.6.2.7. Prioridade (2) - Ocorrncia de mdio impacto/Falha verificada em uma determinada funcionalidade da Soluo de Segurana ou de Infra-estrutura que impea a obteno do resultado esperado, mas a soluo ou servio permanecem funcionando para outras finalidades. 7.1.6.2.8. Prioridade (3) - Ocorrncia de baixo impacto na utilizao da Soluo de Segurana ou de Infra-estrutura para resolver problemas de funcionamento que no ocasionem paradas nas aplicaes/ativos que deles fazem uso. 7.1.7. Indicadores e mtricas para o Item 7.1.6 7.1.7.1.A CONTRATADA dever prover mensalmente a apresentao de indicadores e mtricas gerenciais, que possam trazer uma viso centralizada dos tempos de atendimento e desempenho dos servios prestados pelos Centros de Operao de Segurana prprios (SOC), fornecendo informaes da eficincia dos atendimentos equipe de TI da CONTRATANTE, responsvel pela gesto estratgica da soluo ofertada; 7.1.7.2.Manter um baseline (repositrio) de pelo menos 1 (um) ano dos indicadores e mtricas elaborados, permitindo a medio da evoluo da qualidade e desempenho dos servios; 7.1.7.3.Os indicadores e mtricas devem contemplar os seguintes posicionamentos: 7.1.7.3.1. Total de chamados cadastrados por soluo ofertada; 7.1.7.3.2. Classificao do chamado pelas prioridades estabelecidas; 7.1.7.3.3. Tempo de atendimento por cada chamado aberto (vs.) classificao conforme as prioridades estabelecidas; 7.1.8. A CONTRATADA realizar reunies mensais, nas dependncias da CONTRATANTE ou de forma remota atravs de solues que permitam udio e vdeo conferncia, para dirimir dvidas sobre a soluo contratada, anlise e entendimento dos relatrios gerenciais e administrativos e reviso das configuraes e procedimentos implementados; 7.2. A prestao do servio contnuo de Operao e Monitorao para SOLUO DE INFRAESTRUTURA (DNS/HTTP/FTP) dever atender no mnimo os requisitos abaixo: 7.2.1. Operao 24x7 para incluso, alterao e remoo de configuraes; 7.2.2. Operao 24x7 para incluso, alterao e remoo de regras/polticas de utilizao; 7.2.3. Backup das configuraes e regras; 7.2.4. Aplicao de atualizaes (implementao de patches e hotfix); 7.2.5. Planejamento de upgrades funcionais e de capacidade; 7.2.6. Monitorao 24x7 de capacidade e disponibilidade; 7.2.7. Monitorao 24x7 dos servios e componentes; 7.2.8. Monitorao 24x7 da performance da soluo; 7.2.9. Emisso de alertas e notificaes em caso de falha; 7.2.10. Configurao contnua de parmetros de funcionamento da soluo; 7.2.11. Controle das permisses para acesso aos servios; 7.2.12. Recuperao das configuraes em caso de falha; 7.2.13. Atualizao da documentao; 7.2.14. Elaborao e envio dos Relatrios Analticos e Tcnicos mensalmente; 7.2.15. Indicadores e mtricas para o item 7.2 7.2.15.1. A CONTRATADA dever prover mensalmente a apresentao de indicadores e mtricas gerenciais, que possam trazer uma viso centralizada da qualidade e desempenho dos servios prestados pelos Centros de Operao de Segurana prprios (SOC), fornecendo ANEXO I PROJETO BSICO Pgina 19 de 27

informaes da eficincia e segurana das contramedidas adotadas equipe de TI da CONTRATANTE, responsvel pela gesto estratgica da soluo ofertada; 7.2.15.2. A disponibilidade mensal do servio contnuo de Operao e Monitorao para SOLUO DE INFRA-ESTRUTURA (DNS/HTTP/FTP) ser calculada pelo perodo de 01 (um) ms, atravs da seguinte equao: D = (To Ti) x 100 / To Onde: D = Disponibilidade; To = Perodo de Operao (um ms), em minutos; Ti = Tempo total de interrupo do ponto de acesso, ocorrida no perodo de operao de um ms, em minutos. 7.2.15.3. O valor de disponibilidade mnima (no perodo de 01 (um) ms) dever ser de 99,7% ou superior; 7.2.15.4. A CONTRATANTE permitir excluir do clculo de disponibilidade as interrupes programadas pela CONTRATADA, que no ultrapassem s 12 horas anuais, sem nunca exceder 4 horas mensais, desde que devidamente informado CONTRATANTE com a antecedncia mnima de 05 (cinco) dias; 7.2.15.5. Quando os valores de disponibilidade do servio contnuo de Operao e Monitorao para SOLUO DE INFRA-ESTRUTURA (DNS/HTTP/FTP) estabelecidos pela CONTRATADA no forem atendidos, ser concedido a CONTRATANTE um desconto por interrupo; 7.2.15.6. O valor de desconto ser aplicado no perodo de faturamento imediatamente subseqente ao qual ocorreram os fatos que originaram os descontos, tendo como base o valor vigente da prestao servio contnuo de Operao e Monitorao para SOLUO DE INFRAESTRUTURA (DNS/HTTP/FTP) do ano da ocorrncia da interrupo; 7.2.15.7. O valor do desconto a ser concedido a CONTRATANTE ser obtido atravs da seguinte frmula: VD = VA x N / 43200 Onde: VD = Valor do Desconto; VA= Valor Anual; N = Quantidade de minutos em que o servio ficou interrompido no ano. 7.3. A prestao do servio contnuo de Operao e Monitorao para SOLUO DE INFRAESTRUTURA (PROXY) dever atender no mnimo os requisitos abaixo: 7.3.1. Operao 24x7 para incluso, alterao e remoo de configuraes; 7.3.2. Operao 24x7 para incluso, alterao e remoo de regras/polticas de utilizao; 7.3.3. Backup das configuraes e regras; 7.3.4. Aplicao de atualizaes (implementao de patches e hotfix); 7.3.5. Planejamento de upgrades funcionais e de capacidade; 7.3.6. Monitorao 24x7 de capacidade e disponibilidade; 7.3.7. Monitorao 24x7 dos servios e componentes; 7.3.8. Monitorao 24x7 da performance da soluo; 7.3.9. Emisso de alertas e notificaes em caso de falha; 7.3.10. Configurao contnua de parmetros de funcionamento da solues; ANEXO I PROJETO BSICO Pgina 20 de 27

7.3.11. Controle das permisses para acesso aos servios; 7.3.12. Recuperao das configuraes em caso de falha; 7.3.13. Atualizao da documentao; 7.3.14. Elaborao e envio dos Relatrios Analticos e Tcnicos mensalmente; 7.3.15. Indicadores e mtricas para o item 7.3 7.3.15.1. A CONTRATADA dever prover mensalmente a apresentao de indicadores e mtricas gerenciais, que possam trazer uma viso centralizada da qualidade e desempenho dos servios prestados pelos Centros de Operao de Segurana prprios (SOC), fornecendo informaes da eficincia e segurana das contramedidas adotadas equipe de TI da CONTRATANTE, responsvel pela gesto estratgica da soluo ofertada; 7.3.15.2. A disponibilidade mensal do servio contnuo de Operao e Monitorao para SOLUO DE INFRA-ESTRUTURA (PROXY) ser calculada pelo perodo de 01 (um) ms, atravs da seguinte equao: D = (To Ti) x 100 / To Onde: D = Disponibilidade; To = Perodo de Operao (um ms), em minutos; Ti = Tempo total de interrupo do ponto de acesso, ocorrida no perodo de operao de um ms, em minutos. 7.3.15.3. O valor de disponibilidade mnima (no perodo de 01 (um) ms) dever ser de 99,7% ou superior; 7.3.15.4. A CONTRATANTE permitir excluir do clculo de disponibilidade as interrupes programadas pela CONTRATADA, que no ultrapassem s 12 horas anuais, sem nunca exceder 4 horas mensais, desde que devidamente informado CONTRATANTE com a antecedncia mnima de 05 (cinco) dias; 7.3.15.5. Quando os valores de disponibilidade do servio contnuo de Operao e Monitorao para SOLUO DE INFRA-ESTRUTURA (PROXY) estabelecidos pela CONTRATADA no forem atendidos, ser concedido a CONTRATANTE um desconto por interrupo; 7.3.15.6. O valor de desconto ser aplicado no perodo de faturamento imediatamente subseqente ao qual ocorreram os fatos que originaram os descontos, tendo como base o valor vigente da prestao servio contnuo de Operao e Monitorao para SOLUO DE INFRAESTRUTURA (PROXY) do ano da ocorrncia da interrupo; 7.3.15.7. O valor do desconto a ser concedido a CONTRATANTE ser obtido atravs da seguinte frmula: VA = VM x N / 43200 Onde: VD = Valor do Desconto; VM= Valor Mensal; N = Quantidade de minutos em que o servio ficou interrompido. 7.4. A prestao do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (FIREWALL/VPN/QoS) dever atender no mnimo os requisitos abaixo: 7.4.1. Operao 24x7 para incluso, alterao e remoo de configuraes; 7.4.2. Operao 24x7 para incluso, alterao e remoo de regras/polticas de utilizao; ANEXO I PROJETO BSICO Pgina 21 de 27

7.4.3. Operao 24x7 para incluso, alterao e remoo de regras/polticas de segurana; 7.4.4. Backup das configuraes e regras/polticas; 7.4.5. Aplicao de atualizaes (implementao de patches e hotfix); 7.4.6. Planejamento de upgrades funcionais e de capacidade; 7.4.7. Monitorao 24x7 de capacidade e disponibilidade; 7.4.8. Monitorao 24x7 dos servios e componentes; 7.4.9. Monitorao 24x7 da performance da soluo; 7.4.10. Monitorao 24x7 da utilizao da VPN; 7.4.11. Monitorao 24x7 das priorizaes ao QoS; 7.4.12. Monitorao 24x7 das tentativas de ataques ao Firewall; 7.4.13. Emisso de alertas e notificaes em caso de falha; 7.4.14. Emisso de alertas e notificaes em caso de tentativa de invaso; 7.4.15. Configurao contnua de parmetros de funcionamento da solues; 7.4.16. Controle das permisses para acesso aos servios; 7.4.17. Recuperao das configuraes em caso de falha; 7.4.18. Atualizao da documentao; 7.4.19. Elaborao e envio dos Relatrios Analticos e Tcnicos mensalmente; 7.4.20. Indicadores e mtricas para o item 7.4 7.4.20.1. A CONTRATADA dever prover mensalmente a apresentao de indicadores e mtricas gerenciais, que possam trazer uma viso centralizada da qualidade e desempenho dos servios prestados pelos Centros de Operao de Segurana prprios (SOC), fornecendo informaes da eficincia e segurana das contramedidas adotadas equipe de TI da CONTRATANTE, responsvel pela gesto estratgica da soluo ofertada; 7.4.20.2. A disponibilidade mensal do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (FIREWALL/VPN/QoS) ser calculada pelo perodo de 01 (um) ms, atravs da seguinte equao: D = (To Ti) x 100 / To Onde: D = Disponibilidade; To = Perodo de Operao (um ms), em minutos; Ti = Tempo total de interrupo do ponto de acesso, ocorrida no perodo de operao de um ms, em minutos. 7.4.20.3. O valor de disponibilidade mnima (no perodo de 01 (um) ms) dever ser de 99,7% ou superior; 7.4.20.4. A CONTRATANTE permitir excluir do clculo de disponibilidade as interrupes programadas pela CONTRATADA, que no ultrapassem s 12 horas anuais, sem nunca exceder 4 horas mensais, desde que devidamente informado CONTRATANTE com a antecedncia mnima de 05 (cinco) dias; 7.4.20.5. Quando os valores de disponibilidade do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (FIREWALL/VPN/QoS) estabelecidos pela CONTRATADA no forem atendidos, ser concedido a CONTRATANTE um desconto por interrupo;

ANEXO I PROJETO BSICO

Pgina 22 de 27

7.4.20.6. O valor de desconto ser aplicado no ms imediatamente subsequente ao ms no qual ocorreram os fatos que originaram os descontos, tendo como base o valor vigente da prestao servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (FIREWALL/VPN/QoS) do ms da ocorrncia da interrupo; 7.4.20.7. O valor do desconto a ser concedido a CONTRATANTE ser obtido atravs da seguinte frmula: VD = VM x N / 43200 Onde: VD = Valor do Desconto; VM= Valor Mensal; N = Quantidade de minutos em que o servio ficou interrompido. 7.5. A prestao do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (IDS/IPS) dever atender no mnimo os requisitos abaixo: 7.5.1. Operao 24x7 para incluso, alterao e remoo de configuraes; 7.5.2. Operao 24x7 para incluso, alterao e remoo de regras/polticas de utilizao; 7.5.3. Operao 24x7 para incluso, alterao e remoo de regras/polticas de segurana; 7.5.4. Backup das configuraes e regras/polticas; 7.5.5. Aplicao de atualizaes (implementao de patches e hotfix); 7.5.6. Planejamento de upgrades funcionais e de capacidade; 7.5.7. Monitorao 24x7 de capacidade e disponibilidade; 7.5.8. Monitorao 24x7 dos servios e componentes; 7.5.9. Monitorao 24x7 da performance da soluo; 7.5.10. Monitorao 24x7 da utilizao da VPN; 7.5.11. Monitorao 24x7 das priorizaes ao QoS; 7.5.12. Monitorao 24x7 das tentativas de ataques ao Firewall; 7.5.13. Detectar anomalias em protocolos; 7.5.14. Emisso de alertas e notificaes em caso de falha; 7.5.15. Emisso de alertas e notificaes em caso de tentativa de invaso; 7.5.16. Configurao contnua de parmetros de funcionamento da solues; 7.5.17. Controle das permisses para acesso aos servios; 7.5.18. Recuperao das configuraes em caso de falha; 7.5.19. Atualizao da documentao; 7.5.20. Elaborao e envio dos Relatrios Analticos e Tcnicos mensalmente; 7.5.21. Indicadores e mtricas para o item 7.5 7.5.21.1. A CONTRATADA dever prover mensalmente a apresentao de indicadores e mtricas gerenciais, que possam trazer uma viso centralizada da qualidade e desempenho dos servios prestados pelos Centros de Operao de Segurana prprios (SOC), fornecendo informaes da eficincia e segurana das contramedidas adotadas equipe de TI da CONTRATANTE, responsvel pela gesto estratgica da soluo ofertada; 7.5.21.2. A disponibilidade mensal do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (IDS/IPS) ser calculada pelo perodo de 01 (um) ms, atravs da seguinte equao: ANEXO I PROJETO BSICO Pgina 23 de 27

D = (To Ti) x 100 / To Onde: D = Disponibilidade; To = Perodo de Operao (um ms), em minutos; Ti = Tempo total de interrupo do ponto de acesso, ocorrida no perodo de operao de um ms, em minutos. 7.5.21.3. O valor de disponibilidade mnima (no perodo de 01 (um) ms) dever ser de 99,7% ou superior; 7.5.21.4. A CONTRATANTE permitir excluir do clculo de disponibilidade as interrupes programadas pela CONTRATADA, que no ultrapassem s 12 horas anuais, sem nunca exceder 4 horas mensais, desde que devidamente informado CONTRATANTE com a antecedncia mnima de 05 (cinco) dias; 7.5.21.5. Quando os valores de disponibilidade do servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (IDS/IPS) estabelecidos pela CONTRATADA no forem atendidos, ser concedido a CONTRATANTE um desconto por interrupo; 7.5.21.6. O valor de desconto ser aplicado no ms imediatamente subseqente ao ms no qual ocorreram os fatos que originaram os descontos, tendo como base o valor vigente da prestao servio contnuo de Operao e Monitorao para SOLUO DE SEGURANA (IDS/IPS) do ms da ocorrncia da interrupo; 7.5.21.7. O valor do desconto a ser concedido a CONTRATANTE ser obtido atravs da seguinte frmula: VD = VM x N / 43200 Onde: VD = Valor do Desconto; VM= Valor Mensal; N = Quantidade de minutos em que o servio ficou interrompido. 7.6. A CONTRATANTE ser responsvel pela gesto estratgica de cada soluo aplicada ao ambiente e definir, com base na Poltica de Segurana da empresa, as diretrizes de utilizao de cada soluo, sendo responsvel pela gesto dos servios de operao e monitorao contnuos executados pela CONTRATADA, pela definio dos tipos de relatrios a serem gerados e pela aprovao das informaes entregues pela CONTRATADA; 8. EQUIPE

8.1. A LICITANTE dever possuir pessoal necessrio e tecnicamente habilitado boa e integral execuo das solues ofertadas. A habilitao tcnica dever ser comprovada atravs da apresentao de certificao tcnica, fornecida pelo fabricante da soluo proposta, de ao menos dois profissionais. Alm disso, a LICITANTE dever possuir na sua equipe ao menos dois profissionais com certificao CISSP, que sero responsveis pelos procedimentos de segurana de todo o projeto, e ao menos um profissional com certificao PMP, que dever ser responsvel pelo Plano de Implantao dos Produtos e Servios; 8.2. A CONTRATADA dever retirar dos servios qualquer empregado que, a critrio da CONTRATANTE, seja julgado inconveniente ao bom andamento dos trabalhos; 8.3. A CONTRATADA dever comunicar, imediatamente, por escrito, a CONTRATANTE, quaisquer dificuldades encontradas pelos tcnicos alocados para execuo dos servios que, eventualmente, possam prejudicar a boa e pontual execuo dos trabalhos, sob pena de serem tais dificuldades consideradas inexistentes; ANEXO I PROJETO BSICO Pgina 24 de 27

8.4. A CONTRATADA dever responder, perante a CONTRATANTE, pela disciplina e comportamento de seu pessoal, acatando rigorosamente todas as normas e instrues baixadas 8.5. A CONTRATADA dever facilitar a ao da CONTRATANTE, provendo acesso aos servios em execuo, e atendendo prontamente s observaes e exigncias apresentadas; 9. CONDIO DE PARTICIPAO

9.1. Podero participar da presente licitao os interessados, cujo ramo de atividades seja pertinente com o objeto deste edital e que atendam a todas as exigncias deste PROJETO BSICO. 9.2. No podero participar desta licitao: Empresas declaradas inidneas para licitar ou contratar com a Administracao Publica, ou ainda, punida com suspenso temporria para licitar ou contratar, nos termos do art. 87, incisos III e IV, da Lei n. 8.666/93; 10. Empresa que se encontre sob falncia; Consrcios; OBRIGAES DA CONTRATADA

10.1.1. A CONTRATADA no poder ceder ou transferir, no todo ou em parte, o instrumento contratual, a terceiros sem a prvia comunicao por escrito CONTRATANTE e sem a sua concordncia; 10.1.2. Todos os empregados da CONTRATADA devero ser oficialmente apresentados atravs de carta devidamente assinada pelo representante legal da empresa, e devero se apresentar ao Departamento de Tecnologia da Informao e Telecomunicaes DGT, da Eletrobras Distribuio Acre; 10.1.3. Todos os empregados devero utilizar nas dependncias da CONTRATANTE, crach de identificao; 10.1.4. Qualquer suspenso na execuo dos servios, mesmo que em carter temporrio, dever ser comunicado de imediato a CONTRATANTE; 10.1.5. A CONTRATADA se responsabilizar por seus empregados e por terceiros credenciados para a prestao dos servios, que no tero nenhum vnculo empregatcio com a CONTRATANTE; 10.1.6. CONTRATADA dever informar CONTRATANTE os nmeros de telefones de seus prepostos para contato; 10.1.7. A CONTRATADA dever executar os servios contratados atravs de profissional legalmente habilitado, responsabilizando-se pela qualidade, exatido e segurana, diligenciando no sentido de que os trabalhos sejam conduzidos segundo a melhor tcnica aplicvel, observando-se os prazos programados para a sua realizao, e ou deslocamento; 10.1.8. A CONTRATADA dever responsabilizar-se pelo transporte de acesso e circulao de seu pessoal nas reas de servio da CONTRATANTE; 10.1.9. A CONTRATADA dever responsabilizar-se pelo bom comportamento de seu pessoal, comprometendo-se a afastar de imediato qualquer empregado cuja presena seja considerada inconveniente, a critrio da CONTRATANTE; 11. OBRIGAES DA CONTRATANTE

11.1. Providenciar, sem nus CONTRATADA, toda a infra-estrutura para implantao dos appliances e equipamentos, tais como: local fsico apropriado, rede lgica, rede eltrica, climatizao, no-break e aterramento dentro dos prazos previamente acordados e das normas estabelecidas pela CONTRATADA, de acordo com as solues adquiridas; ANEXO I PROJETO BSICO Pgina 25 de 27

11.2. Estabelecer e garantir a comunicao atravs de VPN (IpSec) com o Centros de Operao de Segurana (SOC) da CONTRATADA, de forma a permitir a prestao dos servios de operao e monitorao contnuos de todos as solues adquiridas, conforme descrito no item 7 deste PROJETO BSICO . 12. 12.1. DO PREO SOLUO DE INFRA-ESTRUTURA

12.1.1. A CONTRATANTE poder, a seu critrio, escolher a quantidade de equipamentos ou appliances que sero adquiridos, obedecendo a descrio de cada soluo, quando da efetiva definio e necessidades apresentadas para sua infra-estrutura.
Item C Item E Descrio da Soluo para DNS/HTTP/FTP Soluo do Tipo 03 Descrio da Soluo para PROXY Soluo do Tipo 02 Quantidade 01 Quantidade 01 Valor Unit. (R$) 19.764,72 Valor Unit. (R$) 130.230,80 Valor Total (R$) 19.764,72 Valor Total (R$) 130.230,80

12.2. SOLUO DE SEGURANA 12.2.1. A CONTRATANTE poder, a seu critrio, escolher a quantidade de appliances que sero adquiridos, obedecendo a descrio de cada soluo, quando da efetiva definio e necessidades apresentadas para segurana da sua infraestrutura.
Item F Item G Item J Descrio da Soluo para Firewall/VPN/QoS Soluo do Tipo 01 Descrio da Soluo para IDS/IPS (GERENCIADOR) Soluo do Tipo 01 Descrio da Soluo para IDS/IPS (SENSOR) Soluo do Tipo 03 Quantidade 01 Quantidade 01 Quantidade 01 Valor Unit. (R$) 123.689,84 Valor Unit. (R$) 316.385,77 Valor Unit. (R$) 767.228,12 Valor Total (R$) 123.689,84 Valor Total (R$) 316.385,77 Valor Total (R$) 767.228,12

12.2.2. Os preos propostos sero aqueles discriminados pelo licitante em sua proposta para o objeto desta licitao e devero ser cotados em reais (R$). 12.2.3. Os preos sero fixos e irreajustveis para o objeto desta licitao pelo perodo mnimo de 12 (doze) meses, contados da data de apresentao da proposta, nos termos da legislao vigente. Aps o perodo de 12 meses, o contrato poder ser reajustado, com base no ndice Geral de Preos de Mercado (IGPM), publicado pela Fundao Getlio Vargas (FGV), acumulado nos ltimos 12 meses, desde que formalmente solicitado pela CONTRATADA, por meio de correspondncia, com antecedncia mnima de 30 (trinta) dias do incio de sua vigncia. 12.2.4 O valor global de R$ 1.357.299,25 (um milho, trezentos e cinqenta e sete mil, duzentos e noventa e nove reais e vinte e cinco centavos). 13. GERENCIAMENTO DO CONTRATO

O gerenciamento do instrumento contratual ser da responsabilidade da CONTRATANTE. 14. CONDIO DE PAGAMENTO

14.1. Para cada item contratado, a CONTRATANTE pagar o valor correspondente ao item, devendo a CONTRATADA emitir nota fiscal/fatura aps o aceite de cada fase, mediante condies e valores calculados como segue abaixo: Hardwares e softwares sero pagos em at 30 dias, em uma nica parcela. Os servios sero pagos mensalmente, durante 36 meses tempo de durao do contrato. ANEXO I PROJETO BSICO Pgina 26 de 27

15.

VIGNCIA

15.1. A vigncia do contrato ser de 36 (trinta e seis) meses, contados a partir da data de sua assinatura, podendo ser renovado por at 60 (sessenta) meses. 16. 16.1. PRAZOS: DE ENTREGA

16.1.1. O prazo de entrega dos appliances, equipamentos e softwares envolvidos sero de 45 dias aps assinatura do contrato. 16.2. DE EXECUO 16.2.1. A CONTRATADA dever apresentar em at 05 dias teis aps a assinatura do contrato, um Plano de Implantao dos Produtos e Servios (cronograma). 16.2.2. A CONTRATADA dever entregar a soluo ofertada, concluir a implantao e disponibilizar o servio no prazo mximo de 90 (noventa) dias, contados da aprovao do Plano de Implantao dos Produtos e Servios (cronograma) final. 17. GARANTIA

17.1. Todos os hardwares objeto deste contrato, depois de entregues devero ter assegurada a garantia de 36 (trinta e seis) meses, quanto a vcios ocultos, informao incorreta ou defeitos da coisa, ficando a CONTRATADA responsvel exclusiva, por todos os encargos que disso decorrem ou possam decorrer e das providncias de correo, sem nus para a CONTRATANTE. 18. 18.1. LOCALIZAO DOS SERVIOS: Os servios sero realizados na sede da CONTRATANTE.

ANEXO I PROJETO BSICO

Pgina 27 de 27