PROJETO_BASICO_Anexos - Processo

Propaganda
ANEXO N.º 01
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
DISPOSIÇÕES GERAIS
1. OBJETO DA LICITAÇÃO
Aquisição de solução de auditoria1 para os bancos de dados corporativos da Câmara dos
Deputados compreendendo:
1.1. Software para monitorar, em tempo real, os acessos aos bancos de dados, coletar
informações de auditoria, efetuar bloqueios de acessos suspeitos e disponibilizar as
informações coletadas através de consultas e relatórios;
1.2. Hardware adequadamente dimensionado2 para executar as funções contratadas sem
degradar3 a performance da rede e das transações com o banco de dados, no mínimo, pelo
período de garantia dos equipamentos.
1.3. Todos os demais componentes de hardware (inclusive interfaces de rede) e software
necessários ao perfeito funcionamentos da solução contratada e à sua integração com rede
da Câmara dos Deputados;
1.4. Serviços de instalação assistida, configuração e ativação da solução;
1.5. Capacitação operacional para administração da solução e uso de seus recursos.
1.6. Garantia de funcionamento e suporte técnico de software e hardware, pelo período
mínimo de trinta e seis meses.
A solução contratada deverá atender a todas as condições e requisitos especificados neste
projeto básico e seus anexos.
1
Este tipo de solução tem recebido do mercado diferentes denominações, conforme o fornecedor. Nas pesquisas
realizadas para elaboração deste projeto básico, as nomenclaturas mais frequentes foram: Firewall de Bancos de Dados,
Database Firewall e Appliance de Segurança e Auditoria de Bancos de Dados. Independente da nomenclatura dada ao
objeto licitado, a escolha se dará com base nas especificações deste edital.
2
As informações para o adequado dimensionamento da solução podem ser obtidas no anexo 3, deste edital e mediante
vistoria técnica, conforme previsto no item 10 deste anexo.
3
Uma possível condição de degradação de performance causada pelo equipamento fornecido, será atestada por laudo
técnico expedido pelo órgão fiscalizador e encaminhado à contratada para as devidas providências, de acordo com as
condições estabelecidas no anexo 5.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 1
2. CONDIÇÕES DE APRESENTAÇÃO DAS PROPOSTAS
2.1.
A Proposta deverá necessariamente conter o nome da empresa, seu endereço e a
indicação do número da Licitação, bem como explicitar as características técnicas no que se
refere aos requisitos mínimos constantes neste Edital e seus Anexos;
2.2.
A proposta deverá vir acompanhada de documentação comprobatória da total
conformidade com os requisitos mínimos, além de detalhar com clareza informações
necessárias à perfeita caracterização dos equipamentos, softwares ou componentes
propostos, de forma a permitir a correta identificação dos mesmos na documentação técnica
apresentada;
2.2.1. Servirão como documentos de aferição a própria proposta técnica da licitante e a
documentação fornecida pelo fabricante dos equipamentos e softwares, composta de
catálogos, folhetos, impressos ou manuais do fabricante, preferencialmente em língua
portuguesa, ou em língua inglesa;
2.2.2. Deverá constar da proposta, a identificação e página do documento onde se encontra
descrita cada uma das características ofertadas;
2.2.3. A licitante que não disponha do material descrito no subitem 2.2.1. deste Anexo,
deverá apresentar declaração do fabricante em substituição;
2.2.4. A ausência de documentação que impossibilite a avaliação técnica e a comprovação
das características de qualquer dos componentes integrantes da solução implicará na
desclassificação da proposta;
2.3.
A proposta apresentará, individualmente, de forma detalhada, os valores de todos os
componentes da solução ofertada, bem como o valor global, de acordo com o modelo
apresentado no Anexo n.º 09;
2.4.
Deverá ser informado o prazo de garantia dos equipamentos e softwares, que não
poderá ser inferior a 36 meses, contado a partir da data da emissão do Aceite Definitivo;
2.5.
Deverá acompanhar a proposta, a estrutura de módulos e respectivos conteúdos
programáticos do programa de capacitação operacional especificado no Anexo n.º 06.
3. JULGAMENTO DAS PROPOSTAS
3.1.
Para o julgamento das propostas será adotado o seguinte procedimento: será
vencedora a proposta que atenda a todas as condições deste Edital e de seus anexos e
apresente o menor preço.
4. ÓRGÃO FISCALIZADOR
4.1.
Considera-se órgão fiscalizador o Centro de Informática da Câmara dos Deputados,
localizado no 11º Andar do Edifício Anexo I, o qual indicará servidor responsável pelos atos
de fiscalização do contrato.
5. TERMO DE SIGILO
5.1.
A contratada obrigar-se-á, por si, seus empregados, sócios, diretores e mandatários a
manter total sigilo e confidencialidade dos serviços prestados à Câmara dos Deputados no
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 2
que se refere a não divulgação, por qualquer forma, de informações ou documentos aos quais
venha a ter acesso, em decorrência da prestação dos serviços executados por força do
contrato, devendo ainda:
5.1.1. Revelar as informações decorrentes do contrato, exclusivamente, a seus prepostos e
funcionários diretamente envolvidos no Projeto;
5.1.2. Respeitar integralmente as normas de segurança estabelecidas e atender aos padrões
de segurança e controle para acesso e uso das instalações e equipamentos da Câmara
dos Deputados, zelando por sua integridade, mantendo sigilo e considerando
confidenciais todos os dados e informações pertinentes aos serviços prestados;
5.1.3. A obrigação da Contratada de não divulgação das informações tidas como sigilosas e
confidenciais persistirá mesmo após a vigência ou rescisão do contrato.
6. ENTREGA
6.1.
Corresponde ao efetivo recebimento dos equipamentos e softwares nas dependências
do Centro de Informática da Câmara dos Deputados;
6.1.1. Os equipamentos serão entregues acondicionados em caixas lacradas e etiquetadas
com a devida identificação do conteúdo de forma a permitir sua completa
identificação e segurança durante o transporte.
6.1.2. Os equipamentos devem ser acompanhados de documentação técnica e de manuais
necessários à sua instalação, configuração e operacionalização;
6.1.3. Todos os softwares, bem como os drivers para o perfeito funcionamento da solução
adquirida, deverão ser entregues em mídia ótica (CD ou DVD) ou por download.
6.1.4. Não serão aceitos softwares “beta” ou em desenvolvimento.
6.2.
Endereços de entrega: CETEC 1 – CENIN - Câmara dos Deputados, Anexo 04,
Subsolo, Sala 111, Brasília – DF;
6.2.1. Telefone de contato: (61) 3216-3704
6.3.
Prazos de entrega: os equipamentos e softwares serão entregues no prazo máximo
de 60 (sessenta) dias, contados a partir da data de assinatura do contrato;
6.3.1. O atraso no referido prazo implicará multa especificada no item 1 da Tabela de
Multas do Anexo n.º 07.
7. VERIFICAÇÃO DA CONFORMIDADE
7.1.
Verificação de conformidade de entrega: será verificada a conformidade dos
equipamentos e dos softwares em relação à especificação deste Edital e seus anexos, no
recebimento dos mesmos;
7.1.1. As não conformidades nos equipamentos e softwares entregues ou montados deverão
ser sanadas em até 5 (cinco) dias úteis após comunicação formal da contratante à
contratada, sob pena de invalidar a entrega prevista no item 6.
7.2.
Verificação de conformidade de ativação: será verificada a conformidade da solução
em relação às especificações deste Edital e seus anexos, após as etapas de instalação,
configuração e ativação previstas no Anexo n.º 04;
7.2.1. A licitante vencedora, em caso de necessidade, será convocada para participar dos
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 3
testes de verificação de conformidade e terá 24 (vinte e quatro) horas, a contar da data
da convocação, para atender ao chamado;
7.2.2. O perfeito funcionamento da solução de auditoria e as não conformidades (quando
for o caso) serão tecnicamente atestados através de relatórios próprios, produzidos
pelos responsáveis pelo recebimento e baseado nos requisitos especificados neste
edital.
7.2.3. Verificada qualquer não conformidade, a Contratada promoverá as correções
necessárias, observando o prazo descrito no subitem 1.5 do Anexo n.º 04;
8. ACEITES
8.1.
ACEITE DE ENTREGA
Será concedido o ACEITE DE ENTREGA após a efetiva entrega de todos os equipamentos
e softwares e da verificação de conformidade de entrega, conforme o título 6 e o subitem 7.1
deste Anexo.
8.2.
ACEITE DE ATIVAÇÃO
Será concedido o ACEITE DE ATIVAÇÃO após a finalização das atividades de Instalação,
Configuração e da verificação de conformidade de ativação, de acordo com o previsto no
título 1 do Anexo n.º 04 e no subitem 7.2 deste Anexo;
8.3.
ACEITE DE OPERAÇÃO ASSISTIDA
Será concedido o ACEITE DE OPERAÇÃO ASSISTIDA após o término das horas
contratadas para essa atividade e a verificação de conformidade dos serviços prestados,
conforme o título 2 do Anexo n.º 04.
8.4.
ACEITE DEFINITIVO
Será concedido o ACEITE DEFINITIVO após a finalização dos três eventos a seguir:
8.4.1.
emissão do ACEITE DE ENTREGA conforme subitem 8.1. deste Anexo;
8.4.2.
emissão do ACEITE DE ATIVAÇÃO conforme subitem 8.2. deste Anexo;
8.4.3.
emissão do ACEITE DE OPERAÇÃO ASSISTIDA conforme subitem 8.3
deste Anexo;
8.5.
ACEITE DOS SERVIÇOS DE SUPORTE TÉCNICO
Será concedido o ACEITE DOS SERVIÇOS DE SUPORTE TÉCNICO, mensalmente,
durante o prazo de garantia e suporte, após a efetiva prestação dos serviços e a verificação
de conformidade, conforme detalhado nos títulos 1 e 2 do Anexo 5.
8.6.
ACEITE DE CAPACITAÇÃO OPERACIONAL
Será concedido o ACEITE DE CAPACITAÇÃO OPERACIONAL, após a conclusão, com
avaliação positiva, de cada módulo do programa e entrega dos respectivos certificados,
conforme subitem 1.11 do Anexo n.º 06.
9. PAGAMENTO
9.1.
Os pagamentos dos valores referentes ao SUPORTE TÉCNICO E GARANTIA
serão efetuados, mensalmente, em 36 parcelas, no prazo de 30 dias a contar do aceite das
notas fiscais, pelo órgão fiscalizador.
9.2.
CAI NF/CENIN
Os demais pagamentos serão efetuados observando o que se segue:
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 4
9.2.1. 80% (oitenta por cento) do somatório dos valores referentes a hardware, software e
serviços de instalação e ativação após a emissão do ACEITE DE ATIVAÇÃO,
conforme subitem 8.2. deste Anexo;
9.2.2. Os 20% restantes dos valores do item anterior, somado ao valor correspondente a
atividade de OPERAÇÃO ASSISTIDA, após a emissão do ACEITE DEFINITIVO,
conforme subitem 8.4. deste Anexo.
9.2.3. Os pagamentos dos valores referentes a CAPACITAÇÃO OPERACIONAL serão
efetuados, ao final de cada módulo, após a emissão do aceite previsto no item 8.2.
deste Anexo, pelo órgão fiscalizador.
9.3.
Os pagamentos serão feitos por meio de depósito em conta corrente da contratada,
em agência bancária indicada, mediante a apresentação, em duas vias, de nota fiscal / fatura
discriminada, após atestação pelo órgão fiscalizador.
9.4.
A instituição bancária, a agência e o número da conta deverão ser mencionados na
nota fiscal/fatura.
9.5.
A nota fiscal/fatura deverá ser acompanhada da Certidão Negativa de Débitos para
com o INSS – CND, e do Certificado de Regularidade do FGTS – CRF, ambos dentro do
prazo de validade neles expresso.
9.6.
O pagamento será feito com prazo não superior a trinta dias, contado a partir dos
aceites e da comprovação da regularidade da documentação fiscal apresentada, prevalecendo
a data que ocorrer por último.
10.
VISTORIA TÉCNICA
10.1.
Durante o prazo de elaboração das propostas, a licitante poderá realizar visita de
vistoria técnica aos locais de instalação dos equipamentos, com a finalidade de verificar:
10.1.1.
Características ambientais e de infraestrutura;
10.1.2.
Necessidades de adequação de elementos da solução;
10.1.3.
Componentes adicionais que devem ser fornecidos, em conjunto com
a solução, para sua conexão à infraestrutura de redes;
10.1.4.
Dimensionamento da solução em relação à quantidade e capacidade
dos equipamentos a serem fornecidos;
10.1.5.
Posicionamento de equipamentos, componentes da solução, em
relação à topologia de redes.
10.1.6.
Normas de segurança e padrões de rede da Câmara dos Deputados;
10.1.7.
Demais informações que se fizerem necessárias.
10.2.
A visita será precedida por agendamento junto ao Órgão Fiscalizador, por meio do
telefone (61) 3216-3704;
10.3.
Após a conclusão da vistoria, será emitido o “Termo de Vistoria” descrito no Anexo
n° 08;
10.4.
Opcionalmente, os dados para elaboração de propostas, por parte dos concorrentes ao
certame licitatório, poderão ser obtidos mediante consulta escrita, por ofício ou por meio
eletrônico, no qual a interessado formule as questões que julgar necessárias, caso em que a
resposta equivalerá ao “Termo de Vistoria” citado no item anterior.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 5
ANEXO N.º 02
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
CADERNO DE ESPECIFICAÇÕES
1. ESPECIFICAÇÕES GERAIS
1.1. Trata-se da aquisição de uma solução de auditoria destinada a aumentar o nível de
rastreabilidade das transações efetuadas nos bancos de dados, que suportam os sistemas
corporativos da Câmara dos Deputados;
1.2. A solução a ser fornecida deve ser composta por um sistema interligado de equipamentos e
seus respectivos softwares, que atendam a todas as características mínimas especificadas e
às demais condições estabelecidas neste edital e seus anexos.
1.3. Todos os softwares integrantes da solução proposta pela Contratada deverão ser
licenciados, na versão mais recente disponível, de forma definitiva em nome da Câmara dos
Deputados;
1.4. Módulo de Gerência: O software contratado deve possuir um módulo centralizado de
gerência. Suas funcionalidades devem abranger, no mínimo, configuração de politicas,
regras de auditoria e ações de bloqueio de acessos suspeitos, bem como, o armazenamento
dos dados coletados em um banco de dados único, a criação de perfis diferenciados de
acesso à solução, backup, restore, consultas e relatórios.
1.5. Dimensionamento da Solução: A solução deve ser dimensionada para atender aos requisitos
especificados neste edital e seus anexos. Os dados para dimensionamento da solução podem
ser obtidos no anexo 3 deste edital. Caso o fornecedor necessite de mais detalhes, estes
podem ser fornecidos pelo órgão fiscalizador, mediante solicitação da empresa interessada,
conforme definido no título 10 do Anexo n.º 01. O adequado dimensionamento da solução
será avaliado no teste de verificação de conformidades, previsto no item 7 do anexo I, deste
edital;
1.6. Aderência aos padrões de infraestrutura de TI da Câmara dos Deputados: Todos os
componentes da solução contratada devem obedecer aos padrões de infraestrutura de TI da
Câmara dos Deputados, sem necessidade de adaptações ou emulações. Esse requisito visa
facilitar a adaptação da solução de auditoria ao ambiente existente e aproveitar o
conhecimento dos técnicos da Casa que irão operá-lo. O anexo 3 traz algumas
características da infraestrutura de TI da Câmara dos Deputados. Mais detalhes para
especificação e formulação de propostas podem ser obtidos através da visita de vistoria
técnica, conforme definido no título 10 do Anexo n.º 01.
1.7. Compatibilidade: Todos os equipamentos e softwares deverão funcionar em conjunto,
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 6
simultaneamente, sem conflitos, de forma integrada entre eles e o ambiente de
infraestrutura da Câmara dos Deputados;
1.8. Interoperabilidade: A solução contratada não poderá interferir negativamente no
funcionamento de qualquer equipamento ou componente da infraestrutura de TI da Câmara
dos Deputados. Essa situação será verificada durante os testes de conformidade para aceite
da solução, conforme previsto no item 7.2, do anexo I.
1.9. Interrupção involuntária dos serviços: Os componentes de hardware e software da solução
contratada não poderão provocar a interrupção involuntária dos serviços de acesso aos
bancos de dados ou servidores de aplicação. A ocorrência de evento dessa natureza,
devidamente comprovado por laudo técnico elaborado pelo órgão Fiscalizador, sujeitará a
contratada, à multa prevista no item 7 da Tabela de Multas do Anexo n.º 07, sem prejuízo
das demais multas previstas nos itens 4, 5 e 6 da mesma tabela.
1.10.
Paradas programadas: Serão admitidas paradas programadas nos serviços de acesso
aos bancos de dados, para execução de serviços de suporte técnico, nos termos previstos no
anexo 5 deste edital, desde que a necessidade seja comunicada com antecedência pela
contratada ao Órgão Fiscalizador, que agendará a parada, de acordo com a sua
conveniência.
2. ESPECIFICAÇÕES MÍNIMAS DE SOFTWARE
2.1. Não intrusividade: A solução contratada deve coletar os dados de auditoria, sem efetuar
conexão, criar objetos ou usuários nos bancos de dados monitorados e sem interferência em
seus processos e estruturas internas. Com isso se pretende facilitar a evolução das versões
dos softwares de banco de dados e da solução adquirida. Também contribui para preservar
investimentos, caso se decida substituir a tecnologia em uma das partes envolvidas.
2.2. Consumo máximo de 5% de CPU e memória RAM dos servidores monitorados: As
soluções que necessitem instalar agentes ou qualquer outro componente de software nos
servidores monitorados, para cumprir os requisitos deste edital, não poderão consumir, com
esses componentes, mais do que 5% de CPU ou memória RAM. Esse requisito visa
priorizar a atividade fim do servidor, empregando nela o máximo de recursos do
equipamento. Este percentual será verificado no teste de conformidade, previsto no item 7,
do anexo 1 e será motivo para desclassificação da empresa vencedora caso seja
extrapolado.
2.3. Interface padrão web: Todas as interfaces do sistema de auditoria adquirido com os
usuários devem ser no padrão web. Este requisito visa facilitar o acesso remoto ao sistema e
evitar incompatibilidades entre módulos cliente e servidor, quando ocorrem mudanças de
versão de softwares ou troca de máquinas cliente.
2.4. Autenticação por usuário e senha: A solução contratada deve controlar o acesso dos
usuários aos seus recursos por meio de usuário e senha. Essa funcionalidade atribui maior
segurança, organização e estabilidade ao ambiente;
2.5. Perfis de acesso: A interface da solução deve permitir a criação de perfis de acesso
diferenciados para seus usuários, de acordo com os papeis exercidos por eles. Ex:
administrador, auditor, operador, DBA, usuário de sistema, etc.. Essa funcionalidade visa
facilitar a concessão de acessos para grupos de usuários com atividades afins e limitar o
acesso, ao mínimo necessário, para a execução das tarefas pertinentes a cada grupo;
2.6. Console: O software de auditoria adquirido deve possuir modulo de gerenciamento, no
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 7
estilo console de ambiente. Este requisito visa facilitar a administração da solução
contratada, concentrando os mecanismos de gerenciamento em um ponto único da rede,
com acesso remoto.
2.7. Navegação no estilo “drill down”: O console de gerenciamento do ambiente deve permitir a
navegação através de informações gerais e específicas (“drill down”), sobre todos os
componentes da solução contratada, para fins de configuração e para consultas sobre os
dados de monitoramento. Esse método de navegação facilita a operação do console e o
acesso aos dados disponíveis no ambiente, além de atenuar a curva de aprendizado, já que é
um padrão utilizado em muitos de nossos softwares.
2.8. Monitoramento em tempo real: A solução de auditoria contratada deve permitir o
monitoramento, captura e armazenamento dos dados relativos ao tráfego de acesso aos
bancos de dados, para fins de auditoria, assim que os comandos são disparados, de modo
que, não haja possibilidade de manipulação dos dados antes, durante ou após a gravação
dos mesmos.
2.9. Monitoramento em Porta de serviço diferente do padrão: A solução de auditoria deve
permitir o monitoramento das transações, mesmo que essas ocorram em portas de serviço
diferentes daquelas indicadas como padrão para os bancos de dados monitorados. Essa é
uma situação que ocorre em nosso ambiente.
2.10.
Desativação do monitoramento: A solução deve permitir a desativação do
monitoramento através da console de gerenciamento. Esse requisito permite que o
administrador da solução contratada possa desativá-la sem necessidade de interferência
física nos equipamentos.
2.11.
Aplicação de filtros para monitoramento: Deve possibilitar a aplicação de filtros para
monitoramento e captura seletiva de registros de acesso ao banco de dados. Essa
funcionalidade permite a análise mais apurada de situações específicas e economiza
recursos de armazenamento, com refinamento do trafego capturado e a geração de trilhas de
auditoria mais qualificadas.
2.12.
Registro das tentativas de acesso rejeitadas: A solução deve permitir o registro de
falhas de conexão (logins fracassados) e de erros de SQL (SQL erros). Essa funcionalidade
permite ao administrador efetuar análises de riscos sobre tentativas de violação, bem como
possibilita a retroalimentação do sistema de segurança.
2.13.
Registros de informações cronológicas: A solução deve assegurar que informações
cronológicas suficientes estejam sendo armazenadas em registros operacionais, para
permitir a reconstrução, revisão e análise das sequencias históricas de operações e outras
atividades pertinentes ou de apoio às operações.
2.14.
Registro de comandos executados diretamente no servidor: Deve permitir o
monitoramento, captura e armazenamento dos dados relativos a sessões e comandos
executados diretamente nos servidores de bancos de dados. Essa funcionalidade possibilita
auditar a execução de comandos que não trafegam na rede, por serem executados
diretamente na máquina ou através de ferramentas de acesso remoto.
2.15.
As trilhas de auditoria devem registrar, no mínimo, a seguinte estrutura de dados:
2.15.1.
suas variáveis;
Texto do comando SQL com possibilidade de explicitar os valores de
2.15.2.
Data e hora do acesso;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 8
2.15.3.
Identificador do usuário do banco de dados;
2.15.4.
Identificador do usuário da máquina cliente, desde que esse seja
propagado pela aplicação para o banco de dados;
2.15.5.
Banco de dados onde foi executada a transação;
2.15.6.
IP da máquina de origem da transação;
2.15.7.
IP da máquina de destino da transação;
2.16.
Dados de monitoramento consolidados: Os dados registrados nas trilhas de auditoria
devem estar disponíveis em uma base de dados única, consolidada, mesmo que haja
diversos mecanismos (agentes ou equipamentos) de coleta e bases de dados locais
espalhados pela rede monitorada. Admite-se que haja uma defasagem máxima de 1 dia
entre uma base de dados local e a base de dados central, desde que seja possível acessar as
informações ainda não consolidadas a partir de um ponto central.
2.17.
Instalação em modo exclusivo de monitoramento: A solução contratada deve
permitir a instalação em modo exclusivo de monitoramento (sem regras de bloqueios de
acesso), apenas registrando os acessos desejados aos bancos de dados e permitindo a sua
recuperação sob a forma de informações de auditoria. Ações de bloqueio devem poder ser
acrescentadas quando necessário. Esse requisito permite maior flexibilidade na implantação
e operação da solução contratada.
2.18.
Regras com ações de bloqueio: A solução contratada deve permitir a construção de
regras que contenham ações de bloqueio de acessos. Esse requisito atribui a característica
de pró-atividade à solução contratada, aumentando a segurança através do bloqueio de
acessos que representem risco potencial para o ambiente de banco de dados.
2.19.
Regras e políticas pré-configuradas: É desejável que traga um conjunto de regras
pré-configuradas que possam ser ativadas, para facilitar a implantação da ferramenta ou o
tratamento de situações cotidianas de ambientes corporativos.
2.20.
Regras e políticas personalizadas: A solução contratada deve permitir a criação de
regras personalizadas, de acordo com necessidades específicas da Câmara dos Deputados.
2.21.
Regras baseadas na combinação de variáveis: A solução contratada deve permitir a
construção de regras baseadas na combinação de variáveis. No mínimo, deve permitir a
criação de regras que tenham como parâmetro as seguintes variáveis: Data da operação,
hora, IP de origem ou faixa de IPs, ID do usuário do banco de dados, ID do usuário cliente.
2.22.
Agrupamento de regras em políticas: Essa funcionalidade facilita a construção,
ativação e desativação de conjuntos de regras. Possibilita, ainda, a aplicação de políticas de
segurança mais ou menos severas, em determinados períodos, dependendo da avaliação de
maior ou menor risco de ataques.
2.23.
Latência máxima para o processamento de regras de monitoramento e ações de
bloqueio: A solução contratada não poderá acrescentar mais do que 10% ao tempo de
execução de transações e rotinas que se encontram em produção nos bancos de dados da
Câmara dos Deputados, para o processamento de regras de monitoramento e ações de
bloqueio. A medição da latência acrescida será apurada no teste de conformidade, previsto
no item 7, do anexo 1, tendo como base um conjunto de transações e rotinas, selecionadas
entre as que são processadas cotidianamente em nosso ambiente e que tem o seu tempo de
execução conhecido.
2.24.
CAI NF/CENIN
Relatórios gerados via web: Relatórios e consultas devem poder ser gerados
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 9
diretamente pelos usuários, através de acesso remoto, com interface no padrão web. Este
requisito visa dar maior dinamismo e grau de sigilo aos trabalhos de auditoria e
investigação.
2.25.
Perfil específico para geração de relatórios: A solução contratada deve permitir a
criação de perfil de acesso com direitos restritos para geração de relatórios. Este requisito
atribui maior segurança e confiabilidade ao ambiente de monitoramento.
2.26.
Geração de Relatórios: Os relatórios devem ser gerados diretamente por
componentes da solução contratada, sem que haja possibilidade de alteração prévia das
informações neles contidas. Esse requisito visa garantir que as informações contidas nos
relatórios espelham fielmente os registros das trilhas de auditoria.
2.27.
Relatórios em PDF: A solução de auditoria contratada deve gerar relatórios, no
mínimo, em PDF. Esse é o formato mais utilizado para tramitação de documentos
eletrônicos.
2.28.
Relatórios personalizados: Deve permitir a criação de relatórios e consultas
instantâneos e personalizados a partir de interfaces gráficas e interativas (wizards), que
facilitem a extração de informações de auditoria por parte dos usuários autorizados, sem a
necessidade de conhecimentos específicos de bancos de dados, SQL ou qualquer outro tipo
de linguagem de consulta que utilize linhas de comando. Este requisito visa dar autonomia
para o trabalho daqueles que demandam informações de auditoria e que não detenham
conhecimento ou formação específica na área de TI.
2.29.
Relatórios pré-configurados: A solução de auditoria deve disponibilizar consultas e
relatórios pré-configurados sobre os dados de monitoramento, que facilitem a analise crítica
e regular das informações por parte dos usuários autorizados, sem a necessidade de
intervenção dos técnicos de informática.
2.30.
Relatórios baseados em templates: Deve permitir a criação de relatórios e consultas
baseados em relatórios que já estejam formatados. Este requisito possibilita a geração de
uma nova consulta, com modificações que atendam a uma necessidade parecida, porém
mais específica.
2.31.
Auditoria de acessos administrativos: A solução contratada deve ser capaz de
registrar e disponibilizar para auditoria, através de consultas e relatórios, todas as ações
executadas por seus usuários: criação / alteração de usuários, regras e políticas, concessão
de privilégios de acesso, backup, restore, expurgo de dados, etc... Esse requisito visa
garantir a rastreabilidade das operações administrativas efetuadas por usuários
administradores da solução contratada.
2.32.
Inviolabilidade dos registros de auditoria: O banco de dados que contém os registros
de auditoria deve ser inviolável. Não pode estar acessível, senão através de recursos de
interface da própria solução. Não podem existir nesse banco de dados usuários
administradores ou outros usuários privilegiados, que tenham acesso aos objetos e
estruturas de dados ou permissão de exclusão, alteração ou desativação dos registros de
suas próprias atividades ou de outros usuários, através de comandos SQL padrão.
2.33.
Alertas e envio de mensagens em tentativas de violação: A solução contratada deve
se capaz de emitir alertas baseados em tentativas de acessos não autorizados aos bancos de
dados monitorados, conforme grau de criticidade ou valores predefinidos, para que possam
ser tomadas medidas que neutralizem ou evitem um possível ataque ou violação. Deve, no
mínimo, ser capaz de enviar emails (SMTP)
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 10
2.34.
Alertas e envio de mensagens em violações: Deve permitir configuração e envio de
mensagens de alerta sobre incidentes de segurança que configurem violações no ambiente
monitorado. Deve, no mínimo, ser capaz de enviar emails (SMTP).
2.35.
Backup e Restore: A solução deve prover funcionalidades, através de sua própria
interface, para a realização de backup e restore dos dados de auditoria. Após sofrerem
backup os dados de auditoria devem poder ser expurgados da base local da solução. Essas
três operações devem ser auditáveis, com recursos da própria solução, de modo a permitir a
identificação dos seus responsáveis.
3. ESPECIFICAÇÕES MÍNIMAS DE HARWARE
O hardware da solução contratada deve atender aos requisitos mínimos descritos a seguir. Essa
especificação, além de garantir a compatibilidade, padronização e organização do nosso parque
de equipamentos, tem o intuito de assegurar a qualidade dos equipamentos ofertados e
equilibrar a concorrência entre os participantes do certame licitatório.
3.1. REQUISITOS GERAIS
3.1.1. Serão aceitas soluções baseadas em hardware do tipo appliance, assim caracterizado
na documentação fornecida pelo fabricante dos equipamentos e softwares, composta de
catálogos, folhetos, impressos ou manuais do fabricante.
3.1.2. Também serão aceitas soluções baseadas em software. Neste caso, a solução deve ser
fornecida juntamente com um hardware para sua execução.
3.1.3. Os equipamentos que compõem a solução, devem atender a todas as especificações
mínimas constantes deste edital, especialmente àquelas constantes do iten 3.2.
3.1.4. O hardware da solução contratada deve prover arquitetura em camadas, com
componentes que permitam escalabilidade, de modo que os serviços não sofram
descontinuidade em função do crescimento do ambiente.
3.1.5. Contorno automático de falhas: A solução contratada deve possuir mecanismos de
contorno automático de falhas, que garantam que os serviços de acesso aos bancos de
dados não sejam interrompidos, em casos de pane nos seus componentes de hardware
ou software, bem como na ocorrência de eventos que levem ao seu desligamento
(voluntário ou involuntário).
3.1.6. Componentes redundantes: Os equipamentos da solução contratada devem possuir
características ou níveis de redundância para permitir a troca de componentes de
hardware sem interrupção dos serviços.
3.2. REQUISITOS MÍNIMOS DE HARDWARE
3.2.1. PLACA PRINCIPAL
 Multiprocessada.
 Barramento, no mínimo, 1333 (mil, trezentos e trinta e três) MHZ.
 Pelo menos 01 (um) conector USB 2.0 livre, após a conexão de todos os
periféricos (teclado, mouse, etc.).
 Os slots de memória devem suportar módulos de memória RAM do tipo DDR3
RDIMM e UDIMM, com tecnologia ECC.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 11
3.2.2. BIOS
 Implementação em memória atualizável por “software”.
 Relógio calendário (ano com quatro posições) de tempo real, não volátil.
 Possibilidade de selecionar a unidade de inicialização do sistema, contemplando
disco rígido, disco ótico e unidade USB.
 Possibilidade de restringir o acesso às configurações por meio de senha.
 Armazenamento dos dados do "setup" em memória não volátil.
 Suporte à tecnologia SMART.
 Todos os itens que forem integrados à placa principal deverão possuir recursos
para desativação, preferencialmente, via BIOS.
 Controle de acesso por senhas. Pelo menos uma exclusiva para inicialização do
servidor e outra para acesso total, contemplando a alteração das configurações da
BIOS.
 A BIOS deve possuir número de série/serviço identificando o servidor e/ou
campo editável para esse fim. Esses campos devem ser acessíveis para leitura por
software de gerenciamento.
3.2.3. PROCESSADOR
 Compatível com a arquitetura x86/64;
 Suporte a operações de 32 e 64 bits;
 Para soluções baseadas em software, o equipamento fornecido deve possuir um
mínimo de dois processadores.
 Características de performance:
 Índice SPECint_rate2006 mínimo 320 (trezentos e vinte), auditado pelo SPEC e
publicado no site www.spec.org.
 Caso o processador não seja do exato modelo do constante na auditoria feita pelo
SPEC, SPECint_rate2006 estimado maior ou igual a 1 (um)*.
 *Este índice estimado é obtido através da expressão descrita abaixo. Para a
estimativa, adota-se como referência outro servidor auditado pelo SPEC, que
satisfaça ao índice mínimo exigido, e que seja de mesma arquitetura (mesma
família do processador), do mesmo modelo e fabricante que suporta a mesma
quantidade máxima de processadores, emprega memórias do mesmo tamanho e
modelo, com clock igual ou superior e tenha data de lançamento posterior à do
modelo auditado.
CAI NF/CENIN

Fórmula de cálculo:

SPECint_rate2006 estimado =

(#Proc x #Cores x Clock) /

(#ProcAud x #CoresAud x ClockAud)

onde:

#Proc = quantidade de processadores no modelo ofertado ;
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 12

#Cores = quantidade de cores por processador no modelo ofertado.

Clock = freqüência do clock (em GHz) em um só dos processadorres
ofertados;

#ProcAud = quantidade de processadores utilizados no Servidor auditado
pelo SPEC;

#CoresAud = quantidade de cores por processador auditado pelo SPEC;.

ClockAud = freqüência de clock (em GHz) de cada processador utilizado
no Servidor auditado pelo SPEC.
3.2.4. MEMÓRIA PRIMARIA (RAM )
 Equipamentos do tipo appliance, devem possuir um mínimo instalado de 4 GB de
RAM;
 Para soluções baseadas em software, o equipamento fornecido deve possuir um
mínimo instalado de 16 GB de RAM;
 Mínimo 04 (quatro) GB de capacidade por pente.
 ECC (Error Control Check)
 PC3-10600E, de 1333 Mhz.
3.2.5. CONTROLADORA DE DISCOS RAID
 SAS (Serial Attached SCSI).
 Suporte aos níveis de RAID zero, um, cinco e zero-mais-um ou um-mais-zero
por “hardware” e "hot spare" de disco.
 512 (quinhentos e doze) MB de memória cache com bateria ou memória cache
não volátil.
 Substituição de quaisquer discos rígidos sem necessidade de interrupção do
funcionamento do microcomputador ("hot-swappable").
 Admite-se a controladora embutida na placa principal, desde que mantidas as
características descritas nos subitens anteriores.
 Caso a controladora seja embutida na placa principal, também deverá permitir
atualização do firmware da controladora RAID.
 Taxa de transmissão de 6 (seis) Gbps.
3.2.6. UNIDADES DE DISCO RÍGIDO
 Dez mil rotações por minuto.
 SAS (Serial Attached SCSI), compatível com a controladora de discos.
 Permitir substituição “à quente” (“Hot-swappable” ou “Hot-pluggable”).
 Suporte à tecnologia SMART.
 Capacidade de armazenamento de no mínimo 500 GB
 Taxa de transmissão de 6 (seis) Gbps.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 13
3.2.7. GABINETE
 Deve acomodar todos os componentes do servidor.
 Altura máxima de 04 (quatro) RU, para racks de 19 polegadas.
 Indicador de estado dos equipamentos.
 Ventilação forçada independente e complementar aos sistemas de ventilação
do(s) processador(es) e da(s) fonte(s) de alimentação.
 Trilhos para instalação em racks.
 Ventiladores redundantes.
3.2.8. FONTE DE ALIMENTAÇÃO
 Operação em 220V / 60 Hz.
 Redundância e balanceamento de carga. (mínimo de duas fontes)
 Substituível com servidor em operação (“Hot swappable” ou “hot-pluggable”).
 Capaz de suportar o equipamento em configuração completa.
3.2.9. INTERFACE DE REDE
 Devem possuir, pelo menos, duas portas de rede padrão 10GBASE (10 GbE),
fibra, curto alcance
 Para conexão com a rede, juntamente com cada porta 10 Gb do hardware coletor
deverão ser fornecidos o respectivo cordão óptico e a interface SFP+ 10 Gb a ser
instalada do lado do switch.
 A especificação da interface utilizada nos switches é: Fabricante: HP; Part
Number: JD092B; Descrição: HP X130 10G SFP+ LC SR Transceiver. Serão
aceitas outras interfaces, desde que possuam total compatibilidade com a
especificada.
 Deve possuir pelo menos 2 portas padrão Ethernet Padrão 10Base-T, 100Base-Tx
e 1000Base-T.
 Deve suportar os padrões: Gigabit Ethernet (IEEE Std 802.3ab) e VLANs (IEEE
802.1Q).
 Detecção automática de velocidade (“autosensing”).
 Conector blindado, padrão RJ-45 fêmea.
 Comunicação em duas vias (“full duplex”) em 10Base-T e 100Base-TX.
 Suportar a especificação QoS, ACPI e TOE (TCP/IP Offload Engine) ou I/OAT
(Intel aceleration technologies). SNMP, MIB II.

Admite-se interface de rede embutida na placa principal, desde que mantidas as
características descritas nos subitens anteriores.
 Deve ser totalmente compatível os switches utilizados na Rede de Dados da
Câmara dos Deputados.
3.2.10.
CAI NF/CENIN
ACESSÓRIOS
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 14



Fornecimento de todos os dispositivos, cabos e conectores necessários à
completa instalação, configuração e perfeita ativação dos computadores.
Caso os suportes descritos no item GABINETE não sejam compatíveis
mecanicamente para fixação nos racks de propriedade da Câmara dos Deputados
marca Dell modelo PowerEdge 4210, a Licitante deverá fornecer, sem ônus
adicional à Câmara dos Deputados, kits adicionais de suporte para os
equipamentos fornecidos, de forma que possam ser instalados nos racks
existentes.
Durante vistoria, a licitante poderá verificar a necessidade ou não de
fornecimento desses suportes adicionais.
4. DA GARANTIA DE FUNCIONAMENTO DA SOLUÇÃO:
4.1. Os equipamentos e softwares fornecidos serão garantidos na totalidade de seu
funcionamento, por um prazo mínimo de 36 (trinta e seis) meses, contados da data do
ACEITE DEFINITIVO;
4.2. Durante o prazo de garantia de funcionamento serão prestados serviços de suporte técnico,
compreendendo manutenção preventiva e corretiva, com fornecimento de peças de
reposição as expensas da contratada, conforme detalhado no Anexo n.º 05.
4.3. O adequado funcionamento da solução engloba a manutenção da performance da rede de
dados e das transações com os bancos de dados monitorados. Uma possível condição de
degradação de performance causada pelo equipamento fornecido será atestada por laudo
técnico expedido pelo órgão fiscalizador e encaminhado à contratada para as devidas
providências, de acordo com as condições estabelecidas no anexo 5.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 15
ANEXO N.º 03
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
LEVANTAMENTO DE DADOS PARA ESTIMATIVA DE PREÇOS
As informações constantes deste anexo são preliminares, servem como base para
estimativa inicial de preço. Informações complementares podem ser obtidas mediante solicitação,
por e-mail, ao responsável pelo projeto.
Para a formulação das propostas de preços definitivas, a serem consideradas no
processo licitatório, sugerimos agendar uma visita para vistoria técnica, conforme especificado no
item 10, do anexo 1, deste edital.
1. INFORMAÇÕES SOBRE OS SISTEMAS A SEREM MONITORADOS
1.1. Sistemas baseados em ORACLE nas versões 10g e 11g






Sistema operacional LINUX RED HAT Enterprise Linux versões 5 ou 6;
Servidores de banco de dados baseados em arquitetura x86 / 64;
4 servidores, com 2 Processadores Intel / Xeon 2.4 GHz, de 4 cores cada um e 96
GB de RAM.
Os servidores operam em cluster (ativo/ativo), utilizando Oracle RAC (Real
Application Clusters);
O cluster ORACLE possui três instâncias ORACLE, com sistemas OLTP;
A instância de maior demanda atende, no máximo, 3.000 chamadas de usuários (user
calls) por segundo e gera 500 GB de registro de transações (log) por mês.
1.2. Sistemas baseados em SQL SERVER 2008





Sistema operacional enterprise windows Server 2008;
Servidores de banco de dados baseados em arquitetura x86 / 64;
2 máquinas, com 2 Processadores Intel / Xeon 2.4 GHz, com 6 cores cada um e 96
GB de RAM. Essas máquinas possuem uma instância de banco de dados para sistemas
OLTP;
Operam em cluster (ativo/passivo), utilizando SQL SERVER 2008;
Atende, no máximo, 8.000 transações por segundo (MSSQL$PROD:Databases
Transactions/sec ). O registro de transações (MSSQL$PROD:Databases Log File(s)
Used Size) se mantém estável em 2 GB ao longo do dia.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 16
2. ESQUEMA DE REDE SIMPLIFICADO DO SEGUIMENTO DE BANCOS DE DADOS
A SER MONITORADO
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 17
ANEXO N.º 04
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
SERVIÇOS DE INSTALAÇÃO, CONFIGURAÇÃO, ATIVAÇÃO E
OPERAÇÃO ASSISTIDA
Os serviços especificados neste Anexo, destinam-se à colocar a solução adquirida em
funcionamento, no regime de produção, dentro dos prazos e demais condições aqui estabelecidas.
1. INSTALAÇÃO, CONFIGURAÇÃO E ATIVAÇÃO
1.1. Será realizada reunião preparatória, antes do início das atividades de implantação da
solução, envolvendo a equipe técnica da Câmara dos Deputados e os representantes do
fornecedor, com o objetivo de detalhamento do roteiro de instalação, configuração e
ativação, observando-se as especificações deste Anexo e o regime de produção dos serviços
sob responsabilidade do CENIN;
1.1.1. Com base na ata da reunião preparatória, a Contratada produzirá e entregará ao
Órgão Fiscalizador um documento com o roteiro de serviços, apresentando o
detalhamento de atividades no que se refere à metodologia, forma e sequência de
etapas para os procedimentos;
1.2. A instalação e configuração de todos os equipamentos e softwares será realizada utilizando
equipe do fabricante, ou por ele homologada;
1.2.1. As atividades serão acompanhadas e supervisionadas pela equipe técnica da Câmara
dos Deputados;
1.3. Os procedimentos de Instalação e Configuração dos equipamentos e softwares serão
executados, em regra, nos dias úteis, no período das 8 às 18 horas;
1.3.1. Em caráter excepcional e a critério do Órgão Fiscalizador, as atividades poderão ser
realizadas em dias e horários distintos do estabelecido, definidos em acordo com a
Contratada;
1.4. A instalação, configuração e ativação engloba o conjunto de procedimentos necessários à
colocação dos equipamentos e softwares fornecidos em pleno funcionamento, no local
determinado neste Edital, em perfeitas condições de operação e de forma totalmente
integrada ao ambiente de infraestrutura de informática da Câmara dos Deputados. O
processo consistirá das etapas a seguir, que deverão ser realizadas em conformidade com o
estabelecido na reunião preparatória:
1.4.1. Montagem, instalação e configuração dos equipamentos e softwares para a Solução
Corporativa de Proteção e Auditoria dos Bancos de Dados adquirida;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 18
1.4.2. Implantação de ferramentas centralizadas de administração, gerenciamento e
monitoração para a Solução Corporativa de Proteção e Auditoria dos Bancos de Dados;
1.4.3. Ativação da solução e liberação para entrada em produção.
1.5. PRAZO: os equipamentos e softwares serão instalados, configurados e ativados, conforme
especificação deste Edital, tornando-os disponíveis para uso em regime de produção, no
prazo máximo de 30 (trinta) dias, contados a partir da data do ACEITE DE ENTREGA.
1.5.1. O atraso no referido prazo implicará multa especificada no item 2 da Tabela de
Multas do Anexo n.º 07;
2. OPERAÇÃO ASSISTIDA
2.1. O serviço de Operação Assistida deve ser prestado pela empresa contratada, no ambiente da
Câmara dos Deputados, mediante a presença de um técnico certificado pelo fabricante do
produto, por no mínimo 40 horas, acompanhado pela equipe responsável pelas atividades de
operação, manutenção e suporte da solução.
2.2. O serviço será prestado, de forma contínua ou dividido em períodos de no mínimo 4 horas,
no prazo máximo de 60 dias, a contar do aceite de ativação da solução, mediante solicitação
do órgão fiscalizador.
2.3. O serviço de operação assistida tem como objetivos auxiliar o processo de implantação da
solução, corrigir possíveis falhas, reduzir riscos de implantação, orientar sobre melhores
práticas e transferir conhecimentos para a equipe da Câmara que ficará responsável pela
operação e suporte de primeiro nível da solução contratada.
2.4. Este serviço deve incluir as seguintes atividades:
2.4.1. Execução de atividades operacionais, utilizando os procedimentos mais adequados e
adaptados a realidade da Câmara dos Deputados (criação de usuários e regras, geração
de relatórios, resolução de incidentes, etc.);
2.4.2. Execução de atividades de manutenção corretiva, utilizando os procedimentos que
permitam maior eficiência e eficácia na solução de falhas;
2.4.3. Execução de atividades de manutenção preventiva, rotinas de testes, análises e
medidas, utilizando procedimentos que assegurem mínima interferência na operação e
máxima disponibilidade da solução;
2.4.4. Elaboração de procedimentos especiais ou detalhamento de procedimentos padrão,
documentados e adaptados a realidade da Câmara dos Deputados;
2.4.5. Elaboração de relatórios de atividades, detalhando os procedimentos realizados e
eventuais ajustes, se necessário.
2.5. Benefícios esperados:
2.5.1. Garantia de que a solução seja operada seguindo procedimentos de melhores
práticas;
2.5.2. Redução da curva de aprendizado e transferência de conhecimento para a equipe da
Câmara dos Deputados;
2.5.3. Melhor performance e disponibilidade da solução no início de sua operação.
2.5.4. Redução de impacto de implantação, com menor índices de incidentes gerados em
função da implantação da nova tecnologia;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 19
2.5.5. Padronização de procedimentos, possibilitando que o cliente assuma as atividades
com sua própria equipe no menor tempo possível;
2.5.6. Relatório ao final do período de operação assistida, contendo informações sobre
atividades desenvolvidas e recomendações sobre como melhor utilizar a tecnologia.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 20
ANEXO N.º 05
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
SERVIÇOS DE SUPORTE TÉCNICO
Os serviços especificados neste Anexo, com seus respectivos prazos e demais
condições aqui estabelecidas, aplicam-se ao objeto da licitação, sendo que eventuais irregularidades
são passíveis de multas descritas no Anexo n.º 07 e outras penalidades previstas em Lei.
1. DEFINIÇÕES PARA EXECUÇÃO DOS SERVIÇOS DE SUPORTE TÉCNICO
1.1.Atualização de software: durante o prazo de garantia serão fornecidos e instalados os
pacotes de correções (“patches”) de software, atualizações de firmware e novas versões de
softwares da solução, assim que se tornarem disponíveis pelo fabricante;
2.1.1. A contratada comunicará formalmente ao Órgão Fiscalizador a disponibilidade de
“patches” e novas versões dos softwares;
2.1.2. O processo de instalação dos “patches” e novas versões dos softwares é de
responsabilidade da contratada, e incluirá:
2.1.2.1. O levantamento de requisitos para a instalação e a avaliação do possível
impacto, no ambiente operacional e nas aplicações de produção;
2.1.2.2. A certificação de compatibilidade das versões de todos os itens de software
entre si e em relação aos equipamentos integrantes do ambiente de produção;
2.1.2.3. A re-configuração do ambiente, quando necessário;
2.1.3. Os procedimentos de atualização deverão ser previamente agendados junto ao Órgão
Fiscalizador, que decidirá sobre a conveniência ou não da manutenção, acompanhará e
validará os respectivos serviços;
2.1.4. A inobservância das obrigações aqui previstas, implicará a aplicação de multa
descrita no item 3 do Anexo nº 07.
2.1. Manutenção corretiva: série de procedimentos destinados a recolocar os equipamentos e
softwares em perfeito estado de funcionamento:
2.2.1. A manutenção corretiva será realizada a qualquer tempo, 24h (vinte e quatro) horas
por dia, de segunda-feira a domingo, inclusive feriados;
2.2.2. A Contratada tornará disponíveis, em um prazo de 10 (dez) dias, contado a partir da
assinatura do contrato, as informações necessárias ao acionamento do suporte,
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 21
identificando formalmente, junto ao Órgão Fiscalizador, seu preposto ou empregado
com competência para manter entendimentos e receber comunicações, bem como os
meios para contato;
2.2.3. Os serviços de manutenção corretiva serão realizados nas dependências da Câmara
dos Deputados, no local onde os equipamentos estiverem instalados;
2.2.4. A substituição de equipamentos ou peças realizada durante a manutenção corretiva
deverá ser realizada por itens novos e para primeiro uso;
2.2.5. Na comunicação a ser feita pelo Órgão Fiscalizador à Contratada, serão fornecidas
as seguintes informações para abertura da respectiva ordem de serviço:
2.2.5.1. número de série do equipamento;
2.2.5.2. anormalidade observada;
2.2.5.3. nome do responsável pela solicitação do serviço;
2.2.5.4. nível de severidade do problema, que poderá ser:
2.2.5.4.1. Grave: no caso de situações de paralisação total de qualquer
equipamento, paralisação parcial ou total de serviço crítico, ou
ainda situações que causem impacto significativo na disponibilidade
ou desempenho do serviço;
2.2.5.4.2. Moderado: paralisação parcial sem indisponibilidade de serviços e
demais situações de impacto menor;
2.2.5.4.3. Baixo: Esse nível de severidade é aplicado para a instalação,
configuração, esclarecimentos técnicos relativos ao uso da solução.
Não haverá abertura de chamados de suporte técnico com esta
severidade em sábados, domingos e feriados.
2.2.6. A Contratada deverá viabilizar serviço de suporte por meio de telefone, para os casos
de severidade baixa, em que não for necessária a presença de técnico, com o objetivo
de esclarecimento de dúvidas relativas ao uso, instalação e configuração dos
equipamentos e softwares, bem como para o acompanhamento da resolução de
problemas;
2.2.7. A Contratada deverá comunicar, por escrito, ao Órgão Fiscalizador, sempre que
constatar condições inadequadas de funcionamento ou má utilização a que estejam
submetidos os equipamentos da solução, fazendo constar a causa da inadequação e
respectiva ação de correção;
2.2.8. Durante o período de vigência da garantia, a Contratada deverá promover o
isolamento, a identificação e a caracterização de falhas de softwares (“bugs”), devendo
encaminhá-las ao laboratório do fabricante, acompanhar a resolução e implementar os
procedimentos corretivos;
2.2.8.1. Considera-se falha de software, o comportamento ou características que se
mostrem diferentes daquelas previstas na documentação do produto e nas
especificações técnicas.
3.1. Prazo de atendimento: tempo decorrido entre o acionamento do suporte técnico, por meio
da comunicação feita pelo Órgão Fiscalizador à Contratada, e o primeiro encaminhamento;
2.3.1. A Contratada deverá atender aos chamados técnicos referentes a problemas de
hardware e software empregados na solução, no prazo máximo de 2 (duas) horas,
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 22
sendo facultado ao Órgão Fiscalizador a exigência da presença de um técnico no local
para o atendimento;
2.3.2. Em caso de problemas de hardware, confirmado pela contratada, esta deverá
encaminhar um técnico ao local no prazo máximo de 4 horas para iniciar a reparação
do problema;
2.3.3. A inobservância das obrigações previstas implicará a aplicação de multa descrita no
item 4 do Anexo nº 07.
4.1. Prazo de reparação: tempo decorrido entre o acionamento do suporte técnico, por meio
da comunicação feita pelo Órgão Fiscalizador à Contratada, e o restabelecimento do
perfeito estado de funcionamento dos equipamentos e serviços ou resolução de demais
problemas requisitados;
2.4.1. Tratando-se de problema com nível de severidade Grave, conforme definido no
subitem 2.2.5.4. deste Anexo, o prazo de reparação será de até 8 (oito) horas.
2.4.2. Para problemas com nível de severidade Moderado, conforme definido no subitem
2.2.5.4. deste Anexo, o prazo de reparação será de até 12 (doze) horas;
2.4.3. Para problemas com nível de severidade Baixo, conforme definido no subitem
2.2.5.4. deste Anexo, o prazo de reparação será de até 5 (cinco) dias úteis;
2.4.4. A inobservância das obrigações previstas implicará a aplicação de multa descrita nos
subitens 5.1 ou 5.2 do Anexo nº 07, de acordo com a severidade do problema (grave
ou moderado).
2.4.4.1. A operação da solução em modo de contingência ou fornecimento de solução
de contorno, desde que aceitos pelo Órgão Fiscalizador, isenta a contratada da
multa.
5.1. Remoção de equipamentos: A retirada de equipamentos substituídos das dependências da
Câmara dos Deputados implicará a autorização do Órgão Fiscalizador;
6.1.Relatórios técnicos:
2.6.1. Os chamados técnicos realizados pelo Órgão Fiscalizador serão registrados pela
Contratada, para acompanhamento e controle da execução dos serviços;
2.6.2. A contratada apresentará um relatório de visita, contendo identificação do
equipamento, número de série, data e hora da abertura do chamado, data e hora do
término da reparação, identificação do defeito, do técnico responsável pela execução
do serviço, providências adotadas e outras informações pertinentes;
2.6.3. O relatório será assinado por servidor do Órgão Fiscalizador na condição de
responsável pelo acompanhamento dos serviços;
2.6.4. A contratada informará imediatamente ao Órgão Fiscalizador, em relatório
específico, todas as anormalidades verificadas na execução dos serviços;
2.6.5. No relatório técnico deverão constar de forma clara: o diagnóstico do problema e a
solução adotada, bem como dados e circunstâncias julgados necessários ao
esclarecimento dos fatos;
7.1. Acesso Remoto:
2.7.1. Será controlado pelo Órgão Fiscalizador;
2.7.2. A duração do acesso será restrita ao tempo necessário para resolução do problema;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 23
2.7.3. Cabe ao fornecedor informar antecipadamente ao Órgão Fiscalizador, qualquer
necessidade de acesso remoto;
2.7.4. Todas as intervenções realizadas remotamente são de responsabilidade do
fornecedor, cabendo ao mesmo responder por quaisquer danos porventura decorrentes
dessas intervenções, bem como pela divulgação não autorizada e indevida de quaisquer
dados ou informações contidas no ambiente.
8.1. Taxa Útil Operacional (TUO): porcentagem apurada mensalmente da disponibilidade
real da solução fornecida, em relação ao total de horas do período mensal, descontados os
períodos de paradas programadas.
2.8.1. Serão consideradas como horas de indisponibilidade as interrupções de serviço
decorrentes de problemas com nível de severidade grave, conforme definição do
subitem 2.2.5.4.1. ;
2.8.2. A contagem do número de horas de indisponibilidade de serviço será iniciada com o
acionamento do suporte técnico, por meio da comunicação feita pelo Órgão
Fiscalizador à Contratada, e encerrada com o restabelecimento do perfeito estado de
funcionamento dos serviços, os valores serão totalizados no final do período mensal;
2.8.3. A apuração da TUO será realizada a partir da data do Aceite Definitivo;
2.8.4. A Contratada obriga-se a manter TUO mínima de 98,30% (noventa e oito inteiros e
trinta centésimos por cento);
2.8.5. O não atendimento da TUO mínima especificada sujeita a Contratada à aplicação de
multa conforme tabela de progressão definida no item 6 do Anexo nº 07;
1.1.1.1. Caso o não atendimento da TUO seja provocado por comprovado mau uso da
solução, a contratada será isenta de multa. O mau uso deve ser comunicado
pela contratada conforme descrito no item 1.2.7 e atestado pelo Órgão
Fiscalizador.
1.1.2. A TUO será calculada por meio da expressão matemática abaixo, sendo considerada
a parte inteira e duas casas decimais do resultado:
(THM-THP-TPP)
TUO(%) = ------------------------- x 100
(THM-TPP)
Onde,
TUO (%)
THM (h)
THP (h)
TPP (h)
= Taxa Útil Operacional;
= Total de horas do período mensal (24 * número de dias do mês);
= Somatório do total de horas paradas durante o período mensal;
= Total de horas paradas programadas durante o período mensal (por
solicitação do Órgão Fiscalizador);
2. OUTROS ASPECTOS RELACIONADOS À EXECUÇÃO DOS SERVIÇOS DE
SUPORTE TÉCNICO:
2.1. A contratada deverá viabilizar, por meio de internet, acesso à Base de Conhecimento de
problemas e soluções, relativa a todos os equipamentos e softwares integrantes da solução;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 24
2.2. As atividades de manutenção e suporte técnico deverão ser gerenciadas pela contratada e
realizadas por equipes próprias ou por ele autorizadas;
2.3. A contratada deverá possuir Centro de Suporte, com atendimento em português;
2.4. Além do previsto neste Edital e em seus Anexos, a contratada cumprirá as instruções
complementares do Órgão Fiscalizador quanto à execução e horário de realização dos
serviços, normas de segurança, permanência e circulação de seus empregados nas
dependências da Câmara dos Deputados;
2.5. A inobservância das obrigações previstas implicará a aplicação de multa descrita no item 9
Anexo nº 07;
2.6. A contratada assumirá inteira responsabilidade por danos ou desvios causados ao
patrimônio da Câmara dos Deputados, por ação ou omissão de seus empregados ou
prepostos, no exercício de atribuições previstas neste Edital;
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 25
ANEXO N.º 06
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
CAPACITAÇÃO OPERACIONAL
CONDIÇÕES GERAIS DE CAPACITAÇÃO OPERACIONAL
1.1. A capacitação operacional será realizada em Brasília – DF, com carga horária máxima de 4
(quatro) horas por dia;
1.2. Será realizada para a plataforma e versão dos softwares adquiridos;
1.3. A Contratada deverá seguir o conteúdo programático oficial dos fabricantes dos produtos
fornecidos, devendo complementá-los, com a visão específica utilizada na solução da
Câmara dos Deputados, de acordo com o conteúdo mínimo definido no título 2 deste
Anexo;
1.4. A empresa deverá capacitar pessoas para administrar a solução e usuários que serão
consumidores das informações de auditoria.
1.5. Participarão dos treinamentos 4 servidores no módulo de Administração e 6 no módulo de
Operação. No dimensionamento do número de participantes levou-se em consideração a
participação de servidores das áreas de bancos de dados, segurança, desenvolvimento de
sistemas e auditores da Secretaria de Controle Interno, que são as áreas diretamente
relacionadas com a implantação da solução contratada.
1.6. O programa de capacitação operacional deve ser finalizado em até 90 (noventa) dias da
assinatura do contrato;
1.6.1. O não cumprimento do prazo pela Contratada, implicará multa prevista no item 8 do
Anexo n.º 07;
1.7. Os instrutores deverão ser certificados pelo fabricante dos produtos, bem como possuir
experiência mínima de 3 (três) anos em treinamentos similares;
1.8. A Contratada disponibilizará ambiente para realização da capacitação operacional, além de
todos os insumos e recursos necessários para a sua realização, observando a disponibilidade
de uma estação de trabalho por participante;
1.8.1. Alternativamente, o treinamento poderá ser realizado nas dependências da Câmara
dos Deputados, desde que haja a concordância do órgão fiscalizador, podendo ser
utilizados no treinamento, os próprios equipamentos fornecidos na solução, devendo a
contratada oferecer os demais recursos necessários.
1.9. Deverão ser fornecidas, no início da capacitação, apostilas que abordem todo o conteúdo
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 26
programático, originais e reconhecidas pelo fabricante;
1.10.
A contratada fornecerá aos participantes aprovados na capacitação operacional os
respectivos certificados oficiais de conclusão de cada módulo, homologados pelo
fabricante;
1.11.
Ao final de cada módulo de capacitação operacional, será realizada avaliação de
qualidade, por parte dos participantes, em questionário fornecido pela Contratada, em
escala de 0 (zero) a 10 (dez), que abrangerá os aspectos relativos ao material fornecido, ao
instrutor, ao conteúdo programático e à infra-estrutura;
1.11.1.
A Avaliação será considerada negativa e a contratada ficará obrigada
a reeditar o módulo, caso a avaliação final do módulo apresente média inferior a 7
(sete);
2. CONDIÇÕES ESPECÍFICAS PARA A CAPACITAÇÃO OPERACIONAL
2.1. A contratada deverá apresentar ao órgão fiscalizador ementa para aprovação, com carga
horária e conteúdo programático a serem abordados no treinamento. A ementa deve
abordar, no mínimo, os itens descritos nos itens 2.1 e 2.2, a seguir. A carga horária mínima
exigida será de 40 horas, somados os dois módulos a seguir;
2.2. Administração, e Gerência da Solução contratada
2.2.1. Quantidade: 4 (quatro) vagas;
2.2.2. Carga horária mínima: 12 (doze) horas;
2.2.3. Conteúdo programático abordando no mínimo os seguintes tópicos:
2.2.3.1. Arquitetura, topologia e protocolos;
2.2.3.2. Criação, alteração e remoção de regras e outros parâmetros;
2.2.3.3. Definição de grupos de acesso;
2.2.3.4. Gerenciamento de falhas, diagnóstico e solução de problemas;
2.2.3.5. Gerenciamento de desempenho;
2.2.3.6. Backup e Restore
2.3. Operação da Solução contratada
2.3.1. Quantidade: 6 (seis) vagas;
2.3.2. Carga horária mínima: 8 (oito) horas;
2.3.3. Conteúdo programático abordando no mínimo os seguintes tópicos:
2.3.3.1. Arquitetura, topologia e conceitos básicos;
2.3.3.2. Criação de filtros de monitoramento para situações específicas;
2.3.3.3. Geração de relatórios pré-configurados e personalizados;
2.3.3.4. Outras formas de extração dos dados de auditoria
2.3.3.5. Desenvolvimento de estudos de caso.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 27
ANEXO N.º 07
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
1. TABELA DE MULTAS
Para efeito de aplicação de multas à contratada pela inobservância das obrigações descritas
neste Edital, são atribuídos percentuais sobre o valor global do contrato, conforme tabela abaixo:
INFRAÇÃO
PERCENTUAL
1. Deixar de entregar componentes que impeçam a instalação e ativação da
solução contratada dentro do prazo previsto, por dia de atraso, considerando, de
forma cumulativa:
1.1. Os dias de atraso, do 1º ao 10º dia, por dia de atraso;
0,05%
1.2. Os dias de atraso, do 11º ao 20º dia, por dia de atraso;
0,08%
1.3. Os dias de atraso, do 21º ao 30º dia, por dia de atraso;
0,12%
1.4. Os dias de atraso, a partir do 30º dia, por dia de atraso;
0,17%
2. Deixar de cumprir prazo de instalação, configuração e ativação, considerando,
de forma cumulativa:
2.1. Os dias de atraso, do 1º ao 10º dia, por dia de atraso;
0,06%
2.2. Os dias de atraso, do 11º ao 20º dia, por dia de atraso;
0,09%
2.3. Os dias de atraso, do 21º ao 30º dia, por dia de atraso;
0,13%
2.4. Os dias de atraso, a partir do 30º dia, por dia de atraso;
0,18%
3. Deixar de comunicar a disponibilidade, instalar ou re-configurar ambiente com
0,10%
novas versões dos softwares ou “patches” empregados na solução, por ocorrência
4. Deixar de cumprir prazo de atendimento dentro do previsto, por hora de atraso
0,03%
5. Deixar de cumprir prazo de reparação, dentro do previsto, por hora de atraso:
5.1 para problemas moderados
0,02%
5.2 para problemas graves
0,03%
6. Deixar de manter a taxa útil operacional (TUO) mensal em percentual igual ou
superior ao contratado, por hora de indisponibilidade:
6.1. Considerando o número de horas paradas até 2 (dois) pontos percentuais
0,03%
abaixo da TUO contratada.
6.2. Considerando o número de horas paradas além de 2 (dois) pontos
0,05%
percentuais e até 6 (seis) pontos percentuais abaixo da TUO contratada
6.3. Considerando o número de horas paradas além de 6 (seis) pontos
0,07%
percentuais e até o limite máximo de 10% do valor total contratado
7. Provocar a interrupção involuntária dos serviços de acesso aos bancos de
dados, servidores de aplicação ou qualquer outro componente da rede, por mau
0,05%
funcionamento em componentes de hardware ou software da solução contratada.
8. Deixar de cumprir prazo de conclusão da capacitação operacional, por dia de
0,03%
atraso.
9. Descumprir qualquer outra exigência ou obrigação contratual, ou legal, ou
incorrer em qualquer outra falta para a qual não se previu multa diversa, por
0,10%
ocorrência.
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 28
ANEXO N.º 08
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
TERMO DE VISTORIA
Declaramos que conhecemos plenamente a localização, as dimensões, o ambiente de
produção e a infraestrutura existentes para o correto dimensionamento da solução e colocação em
funcionamento dos equipamentos e software relacionados ao objeto da Concorrência n°
/2012.
Brasília, ___ de __________ de 201_.
__________________________________________
CARIMBO E ASSINATURA DO RESPONSÁVEL TÉCNICO
OU REPRESENTANTE LEGAL DA EMPRESA
VISTO DO ÓRGÃO FISCALIZADOR:
Brasília, ___ de __________ de 201_.
________________________________________
Representante do CENIN
Ponto: ________
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 29
ANEXO N.º 09
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
MODELO DE PROPOSTA
OBJETO: Contratação de solução corporativa de auditoria para os bancos de dados corporativos
da Câmara dos Deputados, composta por um conjunto de equipamentos e softwares, envolvendo
entrega de seus componentes, serviços de instalação assistida, ativação, configuração, capacitação
operacional, garantia de funcionamento e suporte técnico de software e equipamentos, pelo
período mínimo de trinta e seis meses.
Nome da empresa:
Endereço da empresa:
Concorrência nº:
Descrição e detalhamento da proposta:
Itens
Classificação: Preço
(Além dos demais itens de serviço, especifique os valores de Serviço ou
hardware e software separadamente, mesmo que não sejam
Equipamento
vendidos de forma isolada. Itens opcionais também devem
ser cotados de forma individualizada)
Preço
Unitário Total
(R$)
(R$)
1- Componentes de “hardware” (detalhamento)
2- Componentes de software (detalhamento individual das
licenças)
3- Serviços de instalação e ativação (conforme o título 1 do
Anexo n.º 04)
4- Serviços de operação assistida (conforme o título 2 do
Anexo n.º 04)
5- Serviços de garantia e suporte técnico (conforme o Anexo
nº 05)
6- Capacitação operacional (conforme Anexo nº 06)
Valor Total da Proposta:
Valor Total dos Serviços:
Valor Total dos Equipamentos:
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 30
ANEXO N.º 10
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
PROPOSTAS COMERCIAIS DE PREÇOS, COLETADAS JUNTO AOS
FORNECEDORES PARA ESTIMATIVA DE CUSTOS
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 31
ANEXO N.º 11
PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE
PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS
RELATÓRIOS DAS PROVAS DE CONCEITOS
CAI NF/CENIN
Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos
Página 32
Download