ANEXO N.º 01 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS DISPOSIÇÕES GERAIS 1. OBJETO DA LICITAÇÃO Aquisição de solução de auditoria1 para os bancos de dados corporativos da Câmara dos Deputados compreendendo: 1.1. Software para monitorar, em tempo real, os acessos aos bancos de dados, coletar informações de auditoria, efetuar bloqueios de acessos suspeitos e disponibilizar as informações coletadas através de consultas e relatórios; 1.2. Hardware adequadamente dimensionado2 para executar as funções contratadas sem degradar3 a performance da rede e das transações com o banco de dados, no mínimo, pelo período de garantia dos equipamentos. 1.3. Todos os demais componentes de hardware (inclusive interfaces de rede) e software necessários ao perfeito funcionamentos da solução contratada e à sua integração com rede da Câmara dos Deputados; 1.4. Serviços de instalação assistida, configuração e ativação da solução; 1.5. Capacitação operacional para administração da solução e uso de seus recursos. 1.6. Garantia de funcionamento e suporte técnico de software e hardware, pelo período mínimo de trinta e seis meses. A solução contratada deverá atender a todas as condições e requisitos especificados neste projeto básico e seus anexos. 1 Este tipo de solução tem recebido do mercado diferentes denominações, conforme o fornecedor. Nas pesquisas realizadas para elaboração deste projeto básico, as nomenclaturas mais frequentes foram: Firewall de Bancos de Dados, Database Firewall e Appliance de Segurança e Auditoria de Bancos de Dados. Independente da nomenclatura dada ao objeto licitado, a escolha se dará com base nas especificações deste edital. 2 As informações para o adequado dimensionamento da solução podem ser obtidas no anexo 3, deste edital e mediante vistoria técnica, conforme previsto no item 10 deste anexo. 3 Uma possível condição de degradação de performance causada pelo equipamento fornecido, será atestada por laudo técnico expedido pelo órgão fiscalizador e encaminhado à contratada para as devidas providências, de acordo com as condições estabelecidas no anexo 5. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 1 2. CONDIÇÕES DE APRESENTAÇÃO DAS PROPOSTAS 2.1. A Proposta deverá necessariamente conter o nome da empresa, seu endereço e a indicação do número da Licitação, bem como explicitar as características técnicas no que se refere aos requisitos mínimos constantes neste Edital e seus Anexos; 2.2. A proposta deverá vir acompanhada de documentação comprobatória da total conformidade com os requisitos mínimos, além de detalhar com clareza informações necessárias à perfeita caracterização dos equipamentos, softwares ou componentes propostos, de forma a permitir a correta identificação dos mesmos na documentação técnica apresentada; 2.2.1. Servirão como documentos de aferição a própria proposta técnica da licitante e a documentação fornecida pelo fabricante dos equipamentos e softwares, composta de catálogos, folhetos, impressos ou manuais do fabricante, preferencialmente em língua portuguesa, ou em língua inglesa; 2.2.2. Deverá constar da proposta, a identificação e página do documento onde se encontra descrita cada uma das características ofertadas; 2.2.3. A licitante que não disponha do material descrito no subitem 2.2.1. deste Anexo, deverá apresentar declaração do fabricante em substituição; 2.2.4. A ausência de documentação que impossibilite a avaliação técnica e a comprovação das características de qualquer dos componentes integrantes da solução implicará na desclassificação da proposta; 2.3. A proposta apresentará, individualmente, de forma detalhada, os valores de todos os componentes da solução ofertada, bem como o valor global, de acordo com o modelo apresentado no Anexo n.º 09; 2.4. Deverá ser informado o prazo de garantia dos equipamentos e softwares, que não poderá ser inferior a 36 meses, contado a partir da data da emissão do Aceite Definitivo; 2.5. Deverá acompanhar a proposta, a estrutura de módulos e respectivos conteúdos programáticos do programa de capacitação operacional especificado no Anexo n.º 06. 3. JULGAMENTO DAS PROPOSTAS 3.1. Para o julgamento das propostas será adotado o seguinte procedimento: será vencedora a proposta que atenda a todas as condições deste Edital e de seus anexos e apresente o menor preço. 4. ÓRGÃO FISCALIZADOR 4.1. Considera-se órgão fiscalizador o Centro de Informática da Câmara dos Deputados, localizado no 11º Andar do Edifício Anexo I, o qual indicará servidor responsável pelos atos de fiscalização do contrato. 5. TERMO DE SIGILO 5.1. A contratada obrigar-se-á, por si, seus empregados, sócios, diretores e mandatários a manter total sigilo e confidencialidade dos serviços prestados à Câmara dos Deputados no CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 2 que se refere a não divulgação, por qualquer forma, de informações ou documentos aos quais venha a ter acesso, em decorrência da prestação dos serviços executados por força do contrato, devendo ainda: 5.1.1. Revelar as informações decorrentes do contrato, exclusivamente, a seus prepostos e funcionários diretamente envolvidos no Projeto; 5.1.2. Respeitar integralmente as normas de segurança estabelecidas e atender aos padrões de segurança e controle para acesso e uso das instalações e equipamentos da Câmara dos Deputados, zelando por sua integridade, mantendo sigilo e considerando confidenciais todos os dados e informações pertinentes aos serviços prestados; 5.1.3. A obrigação da Contratada de não divulgação das informações tidas como sigilosas e confidenciais persistirá mesmo após a vigência ou rescisão do contrato. 6. ENTREGA 6.1. Corresponde ao efetivo recebimento dos equipamentos e softwares nas dependências do Centro de Informática da Câmara dos Deputados; 6.1.1. Os equipamentos serão entregues acondicionados em caixas lacradas e etiquetadas com a devida identificação do conteúdo de forma a permitir sua completa identificação e segurança durante o transporte. 6.1.2. Os equipamentos devem ser acompanhados de documentação técnica e de manuais necessários à sua instalação, configuração e operacionalização; 6.1.3. Todos os softwares, bem como os drivers para o perfeito funcionamento da solução adquirida, deverão ser entregues em mídia ótica (CD ou DVD) ou por download. 6.1.4. Não serão aceitos softwares “beta” ou em desenvolvimento. 6.2. Endereços de entrega: CETEC 1 – CENIN - Câmara dos Deputados, Anexo 04, Subsolo, Sala 111, Brasília – DF; 6.2.1. Telefone de contato: (61) 3216-3704 6.3. Prazos de entrega: os equipamentos e softwares serão entregues no prazo máximo de 60 (sessenta) dias, contados a partir da data de assinatura do contrato; 6.3.1. O atraso no referido prazo implicará multa especificada no item 1 da Tabela de Multas do Anexo n.º 07. 7. VERIFICAÇÃO DA CONFORMIDADE 7.1. Verificação de conformidade de entrega: será verificada a conformidade dos equipamentos e dos softwares em relação à especificação deste Edital e seus anexos, no recebimento dos mesmos; 7.1.1. As não conformidades nos equipamentos e softwares entregues ou montados deverão ser sanadas em até 5 (cinco) dias úteis após comunicação formal da contratante à contratada, sob pena de invalidar a entrega prevista no item 6. 7.2. Verificação de conformidade de ativação: será verificada a conformidade da solução em relação às especificações deste Edital e seus anexos, após as etapas de instalação, configuração e ativação previstas no Anexo n.º 04; 7.2.1. A licitante vencedora, em caso de necessidade, será convocada para participar dos CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 3 testes de verificação de conformidade e terá 24 (vinte e quatro) horas, a contar da data da convocação, para atender ao chamado; 7.2.2. O perfeito funcionamento da solução de auditoria e as não conformidades (quando for o caso) serão tecnicamente atestados através de relatórios próprios, produzidos pelos responsáveis pelo recebimento e baseado nos requisitos especificados neste edital. 7.2.3. Verificada qualquer não conformidade, a Contratada promoverá as correções necessárias, observando o prazo descrito no subitem 1.5 do Anexo n.º 04; 8. ACEITES 8.1. ACEITE DE ENTREGA Será concedido o ACEITE DE ENTREGA após a efetiva entrega de todos os equipamentos e softwares e da verificação de conformidade de entrega, conforme o título 6 e o subitem 7.1 deste Anexo. 8.2. ACEITE DE ATIVAÇÃO Será concedido o ACEITE DE ATIVAÇÃO após a finalização das atividades de Instalação, Configuração e da verificação de conformidade de ativação, de acordo com o previsto no título 1 do Anexo n.º 04 e no subitem 7.2 deste Anexo; 8.3. ACEITE DE OPERAÇÃO ASSISTIDA Será concedido o ACEITE DE OPERAÇÃO ASSISTIDA após o término das horas contratadas para essa atividade e a verificação de conformidade dos serviços prestados, conforme o título 2 do Anexo n.º 04. 8.4. ACEITE DEFINITIVO Será concedido o ACEITE DEFINITIVO após a finalização dos três eventos a seguir: 8.4.1. emissão do ACEITE DE ENTREGA conforme subitem 8.1. deste Anexo; 8.4.2. emissão do ACEITE DE ATIVAÇÃO conforme subitem 8.2. deste Anexo; 8.4.3. emissão do ACEITE DE OPERAÇÃO ASSISTIDA conforme subitem 8.3 deste Anexo; 8.5. ACEITE DOS SERVIÇOS DE SUPORTE TÉCNICO Será concedido o ACEITE DOS SERVIÇOS DE SUPORTE TÉCNICO, mensalmente, durante o prazo de garantia e suporte, após a efetiva prestação dos serviços e a verificação de conformidade, conforme detalhado nos títulos 1 e 2 do Anexo 5. 8.6. ACEITE DE CAPACITAÇÃO OPERACIONAL Será concedido o ACEITE DE CAPACITAÇÃO OPERACIONAL, após a conclusão, com avaliação positiva, de cada módulo do programa e entrega dos respectivos certificados, conforme subitem 1.11 do Anexo n.º 06. 9. PAGAMENTO 9.1. Os pagamentos dos valores referentes ao SUPORTE TÉCNICO E GARANTIA serão efetuados, mensalmente, em 36 parcelas, no prazo de 30 dias a contar do aceite das notas fiscais, pelo órgão fiscalizador. 9.2. CAI NF/CENIN Os demais pagamentos serão efetuados observando o que se segue: Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 4 9.2.1. 80% (oitenta por cento) do somatório dos valores referentes a hardware, software e serviços de instalação e ativação após a emissão do ACEITE DE ATIVAÇÃO, conforme subitem 8.2. deste Anexo; 9.2.2. Os 20% restantes dos valores do item anterior, somado ao valor correspondente a atividade de OPERAÇÃO ASSISTIDA, após a emissão do ACEITE DEFINITIVO, conforme subitem 8.4. deste Anexo. 9.2.3. Os pagamentos dos valores referentes a CAPACITAÇÃO OPERACIONAL serão efetuados, ao final de cada módulo, após a emissão do aceite previsto no item 8.2. deste Anexo, pelo órgão fiscalizador. 9.3. Os pagamentos serão feitos por meio de depósito em conta corrente da contratada, em agência bancária indicada, mediante a apresentação, em duas vias, de nota fiscal / fatura discriminada, após atestação pelo órgão fiscalizador. 9.4. A instituição bancária, a agência e o número da conta deverão ser mencionados na nota fiscal/fatura. 9.5. A nota fiscal/fatura deverá ser acompanhada da Certidão Negativa de Débitos para com o INSS – CND, e do Certificado de Regularidade do FGTS – CRF, ambos dentro do prazo de validade neles expresso. 9.6. O pagamento será feito com prazo não superior a trinta dias, contado a partir dos aceites e da comprovação da regularidade da documentação fiscal apresentada, prevalecendo a data que ocorrer por último. 10. VISTORIA TÉCNICA 10.1. Durante o prazo de elaboração das propostas, a licitante poderá realizar visita de vistoria técnica aos locais de instalação dos equipamentos, com a finalidade de verificar: 10.1.1. Características ambientais e de infraestrutura; 10.1.2. Necessidades de adequação de elementos da solução; 10.1.3. Componentes adicionais que devem ser fornecidos, em conjunto com a solução, para sua conexão à infraestrutura de redes; 10.1.4. Dimensionamento da solução em relação à quantidade e capacidade dos equipamentos a serem fornecidos; 10.1.5. Posicionamento de equipamentos, componentes da solução, em relação à topologia de redes. 10.1.6. Normas de segurança e padrões de rede da Câmara dos Deputados; 10.1.7. Demais informações que se fizerem necessárias. 10.2. A visita será precedida por agendamento junto ao Órgão Fiscalizador, por meio do telefone (61) 3216-3704; 10.3. Após a conclusão da vistoria, será emitido o “Termo de Vistoria” descrito no Anexo n° 08; 10.4. Opcionalmente, os dados para elaboração de propostas, por parte dos concorrentes ao certame licitatório, poderão ser obtidos mediante consulta escrita, por ofício ou por meio eletrônico, no qual a interessado formule as questões que julgar necessárias, caso em que a resposta equivalerá ao “Termo de Vistoria” citado no item anterior. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 5 ANEXO N.º 02 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS CADERNO DE ESPECIFICAÇÕES 1. ESPECIFICAÇÕES GERAIS 1.1. Trata-se da aquisição de uma solução de auditoria destinada a aumentar o nível de rastreabilidade das transações efetuadas nos bancos de dados, que suportam os sistemas corporativos da Câmara dos Deputados; 1.2. A solução a ser fornecida deve ser composta por um sistema interligado de equipamentos e seus respectivos softwares, que atendam a todas as características mínimas especificadas e às demais condições estabelecidas neste edital e seus anexos. 1.3. Todos os softwares integrantes da solução proposta pela Contratada deverão ser licenciados, na versão mais recente disponível, de forma definitiva em nome da Câmara dos Deputados; 1.4. Módulo de Gerência: O software contratado deve possuir um módulo centralizado de gerência. Suas funcionalidades devem abranger, no mínimo, configuração de politicas, regras de auditoria e ações de bloqueio de acessos suspeitos, bem como, o armazenamento dos dados coletados em um banco de dados único, a criação de perfis diferenciados de acesso à solução, backup, restore, consultas e relatórios. 1.5. Dimensionamento da Solução: A solução deve ser dimensionada para atender aos requisitos especificados neste edital e seus anexos. Os dados para dimensionamento da solução podem ser obtidos no anexo 3 deste edital. Caso o fornecedor necessite de mais detalhes, estes podem ser fornecidos pelo órgão fiscalizador, mediante solicitação da empresa interessada, conforme definido no título 10 do Anexo n.º 01. O adequado dimensionamento da solução será avaliado no teste de verificação de conformidades, previsto no item 7 do anexo I, deste edital; 1.6. Aderência aos padrões de infraestrutura de TI da Câmara dos Deputados: Todos os componentes da solução contratada devem obedecer aos padrões de infraestrutura de TI da Câmara dos Deputados, sem necessidade de adaptações ou emulações. Esse requisito visa facilitar a adaptação da solução de auditoria ao ambiente existente e aproveitar o conhecimento dos técnicos da Casa que irão operá-lo. O anexo 3 traz algumas características da infraestrutura de TI da Câmara dos Deputados. Mais detalhes para especificação e formulação de propostas podem ser obtidos através da visita de vistoria técnica, conforme definido no título 10 do Anexo n.º 01. 1.7. Compatibilidade: Todos os equipamentos e softwares deverão funcionar em conjunto, CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 6 simultaneamente, sem conflitos, de forma integrada entre eles e o ambiente de infraestrutura da Câmara dos Deputados; 1.8. Interoperabilidade: A solução contratada não poderá interferir negativamente no funcionamento de qualquer equipamento ou componente da infraestrutura de TI da Câmara dos Deputados. Essa situação será verificada durante os testes de conformidade para aceite da solução, conforme previsto no item 7.2, do anexo I. 1.9. Interrupção involuntária dos serviços: Os componentes de hardware e software da solução contratada não poderão provocar a interrupção involuntária dos serviços de acesso aos bancos de dados ou servidores de aplicação. A ocorrência de evento dessa natureza, devidamente comprovado por laudo técnico elaborado pelo órgão Fiscalizador, sujeitará a contratada, à multa prevista no item 7 da Tabela de Multas do Anexo n.º 07, sem prejuízo das demais multas previstas nos itens 4, 5 e 6 da mesma tabela. 1.10. Paradas programadas: Serão admitidas paradas programadas nos serviços de acesso aos bancos de dados, para execução de serviços de suporte técnico, nos termos previstos no anexo 5 deste edital, desde que a necessidade seja comunicada com antecedência pela contratada ao Órgão Fiscalizador, que agendará a parada, de acordo com a sua conveniência. 2. ESPECIFICAÇÕES MÍNIMAS DE SOFTWARE 2.1. Não intrusividade: A solução contratada deve coletar os dados de auditoria, sem efetuar conexão, criar objetos ou usuários nos bancos de dados monitorados e sem interferência em seus processos e estruturas internas. Com isso se pretende facilitar a evolução das versões dos softwares de banco de dados e da solução adquirida. Também contribui para preservar investimentos, caso se decida substituir a tecnologia em uma das partes envolvidas. 2.2. Consumo máximo de 5% de CPU e memória RAM dos servidores monitorados: As soluções que necessitem instalar agentes ou qualquer outro componente de software nos servidores monitorados, para cumprir os requisitos deste edital, não poderão consumir, com esses componentes, mais do que 5% de CPU ou memória RAM. Esse requisito visa priorizar a atividade fim do servidor, empregando nela o máximo de recursos do equipamento. Este percentual será verificado no teste de conformidade, previsto no item 7, do anexo 1 e será motivo para desclassificação da empresa vencedora caso seja extrapolado. 2.3. Interface padrão web: Todas as interfaces do sistema de auditoria adquirido com os usuários devem ser no padrão web. Este requisito visa facilitar o acesso remoto ao sistema e evitar incompatibilidades entre módulos cliente e servidor, quando ocorrem mudanças de versão de softwares ou troca de máquinas cliente. 2.4. Autenticação por usuário e senha: A solução contratada deve controlar o acesso dos usuários aos seus recursos por meio de usuário e senha. Essa funcionalidade atribui maior segurança, organização e estabilidade ao ambiente; 2.5. Perfis de acesso: A interface da solução deve permitir a criação de perfis de acesso diferenciados para seus usuários, de acordo com os papeis exercidos por eles. Ex: administrador, auditor, operador, DBA, usuário de sistema, etc.. Essa funcionalidade visa facilitar a concessão de acessos para grupos de usuários com atividades afins e limitar o acesso, ao mínimo necessário, para a execução das tarefas pertinentes a cada grupo; 2.6. Console: O software de auditoria adquirido deve possuir modulo de gerenciamento, no CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 7 estilo console de ambiente. Este requisito visa facilitar a administração da solução contratada, concentrando os mecanismos de gerenciamento em um ponto único da rede, com acesso remoto. 2.7. Navegação no estilo “drill down”: O console de gerenciamento do ambiente deve permitir a navegação através de informações gerais e específicas (“drill down”), sobre todos os componentes da solução contratada, para fins de configuração e para consultas sobre os dados de monitoramento. Esse método de navegação facilita a operação do console e o acesso aos dados disponíveis no ambiente, além de atenuar a curva de aprendizado, já que é um padrão utilizado em muitos de nossos softwares. 2.8. Monitoramento em tempo real: A solução de auditoria contratada deve permitir o monitoramento, captura e armazenamento dos dados relativos ao tráfego de acesso aos bancos de dados, para fins de auditoria, assim que os comandos são disparados, de modo que, não haja possibilidade de manipulação dos dados antes, durante ou após a gravação dos mesmos. 2.9. Monitoramento em Porta de serviço diferente do padrão: A solução de auditoria deve permitir o monitoramento das transações, mesmo que essas ocorram em portas de serviço diferentes daquelas indicadas como padrão para os bancos de dados monitorados. Essa é uma situação que ocorre em nosso ambiente. 2.10. Desativação do monitoramento: A solução deve permitir a desativação do monitoramento através da console de gerenciamento. Esse requisito permite que o administrador da solução contratada possa desativá-la sem necessidade de interferência física nos equipamentos. 2.11. Aplicação de filtros para monitoramento: Deve possibilitar a aplicação de filtros para monitoramento e captura seletiva de registros de acesso ao banco de dados. Essa funcionalidade permite a análise mais apurada de situações específicas e economiza recursos de armazenamento, com refinamento do trafego capturado e a geração de trilhas de auditoria mais qualificadas. 2.12. Registro das tentativas de acesso rejeitadas: A solução deve permitir o registro de falhas de conexão (logins fracassados) e de erros de SQL (SQL erros). Essa funcionalidade permite ao administrador efetuar análises de riscos sobre tentativas de violação, bem como possibilita a retroalimentação do sistema de segurança. 2.13. Registros de informações cronológicas: A solução deve assegurar que informações cronológicas suficientes estejam sendo armazenadas em registros operacionais, para permitir a reconstrução, revisão e análise das sequencias históricas de operações e outras atividades pertinentes ou de apoio às operações. 2.14. Registro de comandos executados diretamente no servidor: Deve permitir o monitoramento, captura e armazenamento dos dados relativos a sessões e comandos executados diretamente nos servidores de bancos de dados. Essa funcionalidade possibilita auditar a execução de comandos que não trafegam na rede, por serem executados diretamente na máquina ou através de ferramentas de acesso remoto. 2.15. As trilhas de auditoria devem registrar, no mínimo, a seguinte estrutura de dados: 2.15.1. suas variáveis; Texto do comando SQL com possibilidade de explicitar os valores de 2.15.2. Data e hora do acesso; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 8 2.15.3. Identificador do usuário do banco de dados; 2.15.4. Identificador do usuário da máquina cliente, desde que esse seja propagado pela aplicação para o banco de dados; 2.15.5. Banco de dados onde foi executada a transação; 2.15.6. IP da máquina de origem da transação; 2.15.7. IP da máquina de destino da transação; 2.16. Dados de monitoramento consolidados: Os dados registrados nas trilhas de auditoria devem estar disponíveis em uma base de dados única, consolidada, mesmo que haja diversos mecanismos (agentes ou equipamentos) de coleta e bases de dados locais espalhados pela rede monitorada. Admite-se que haja uma defasagem máxima de 1 dia entre uma base de dados local e a base de dados central, desde que seja possível acessar as informações ainda não consolidadas a partir de um ponto central. 2.17. Instalação em modo exclusivo de monitoramento: A solução contratada deve permitir a instalação em modo exclusivo de monitoramento (sem regras de bloqueios de acesso), apenas registrando os acessos desejados aos bancos de dados e permitindo a sua recuperação sob a forma de informações de auditoria. Ações de bloqueio devem poder ser acrescentadas quando necessário. Esse requisito permite maior flexibilidade na implantação e operação da solução contratada. 2.18. Regras com ações de bloqueio: A solução contratada deve permitir a construção de regras que contenham ações de bloqueio de acessos. Esse requisito atribui a característica de pró-atividade à solução contratada, aumentando a segurança através do bloqueio de acessos que representem risco potencial para o ambiente de banco de dados. 2.19. Regras e políticas pré-configuradas: É desejável que traga um conjunto de regras pré-configuradas que possam ser ativadas, para facilitar a implantação da ferramenta ou o tratamento de situações cotidianas de ambientes corporativos. 2.20. Regras e políticas personalizadas: A solução contratada deve permitir a criação de regras personalizadas, de acordo com necessidades específicas da Câmara dos Deputados. 2.21. Regras baseadas na combinação de variáveis: A solução contratada deve permitir a construção de regras baseadas na combinação de variáveis. No mínimo, deve permitir a criação de regras que tenham como parâmetro as seguintes variáveis: Data da operação, hora, IP de origem ou faixa de IPs, ID do usuário do banco de dados, ID do usuário cliente. 2.22. Agrupamento de regras em políticas: Essa funcionalidade facilita a construção, ativação e desativação de conjuntos de regras. Possibilita, ainda, a aplicação de políticas de segurança mais ou menos severas, em determinados períodos, dependendo da avaliação de maior ou menor risco de ataques. 2.23. Latência máxima para o processamento de regras de monitoramento e ações de bloqueio: A solução contratada não poderá acrescentar mais do que 10% ao tempo de execução de transações e rotinas que se encontram em produção nos bancos de dados da Câmara dos Deputados, para o processamento de regras de monitoramento e ações de bloqueio. A medição da latência acrescida será apurada no teste de conformidade, previsto no item 7, do anexo 1, tendo como base um conjunto de transações e rotinas, selecionadas entre as que são processadas cotidianamente em nosso ambiente e que tem o seu tempo de execução conhecido. 2.24. CAI NF/CENIN Relatórios gerados via web: Relatórios e consultas devem poder ser gerados Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 9 diretamente pelos usuários, através de acesso remoto, com interface no padrão web. Este requisito visa dar maior dinamismo e grau de sigilo aos trabalhos de auditoria e investigação. 2.25. Perfil específico para geração de relatórios: A solução contratada deve permitir a criação de perfil de acesso com direitos restritos para geração de relatórios. Este requisito atribui maior segurança e confiabilidade ao ambiente de monitoramento. 2.26. Geração de Relatórios: Os relatórios devem ser gerados diretamente por componentes da solução contratada, sem que haja possibilidade de alteração prévia das informações neles contidas. Esse requisito visa garantir que as informações contidas nos relatórios espelham fielmente os registros das trilhas de auditoria. 2.27. Relatórios em PDF: A solução de auditoria contratada deve gerar relatórios, no mínimo, em PDF. Esse é o formato mais utilizado para tramitação de documentos eletrônicos. 2.28. Relatórios personalizados: Deve permitir a criação de relatórios e consultas instantâneos e personalizados a partir de interfaces gráficas e interativas (wizards), que facilitem a extração de informações de auditoria por parte dos usuários autorizados, sem a necessidade de conhecimentos específicos de bancos de dados, SQL ou qualquer outro tipo de linguagem de consulta que utilize linhas de comando. Este requisito visa dar autonomia para o trabalho daqueles que demandam informações de auditoria e que não detenham conhecimento ou formação específica na área de TI. 2.29. Relatórios pré-configurados: A solução de auditoria deve disponibilizar consultas e relatórios pré-configurados sobre os dados de monitoramento, que facilitem a analise crítica e regular das informações por parte dos usuários autorizados, sem a necessidade de intervenção dos técnicos de informática. 2.30. Relatórios baseados em templates: Deve permitir a criação de relatórios e consultas baseados em relatórios que já estejam formatados. Este requisito possibilita a geração de uma nova consulta, com modificações que atendam a uma necessidade parecida, porém mais específica. 2.31. Auditoria de acessos administrativos: A solução contratada deve ser capaz de registrar e disponibilizar para auditoria, através de consultas e relatórios, todas as ações executadas por seus usuários: criação / alteração de usuários, regras e políticas, concessão de privilégios de acesso, backup, restore, expurgo de dados, etc... Esse requisito visa garantir a rastreabilidade das operações administrativas efetuadas por usuários administradores da solução contratada. 2.32. Inviolabilidade dos registros de auditoria: O banco de dados que contém os registros de auditoria deve ser inviolável. Não pode estar acessível, senão através de recursos de interface da própria solução. Não podem existir nesse banco de dados usuários administradores ou outros usuários privilegiados, que tenham acesso aos objetos e estruturas de dados ou permissão de exclusão, alteração ou desativação dos registros de suas próprias atividades ou de outros usuários, através de comandos SQL padrão. 2.33. Alertas e envio de mensagens em tentativas de violação: A solução contratada deve se capaz de emitir alertas baseados em tentativas de acessos não autorizados aos bancos de dados monitorados, conforme grau de criticidade ou valores predefinidos, para que possam ser tomadas medidas que neutralizem ou evitem um possível ataque ou violação. Deve, no mínimo, ser capaz de enviar emails (SMTP) CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 10 2.34. Alertas e envio de mensagens em violações: Deve permitir configuração e envio de mensagens de alerta sobre incidentes de segurança que configurem violações no ambiente monitorado. Deve, no mínimo, ser capaz de enviar emails (SMTP). 2.35. Backup e Restore: A solução deve prover funcionalidades, através de sua própria interface, para a realização de backup e restore dos dados de auditoria. Após sofrerem backup os dados de auditoria devem poder ser expurgados da base local da solução. Essas três operações devem ser auditáveis, com recursos da própria solução, de modo a permitir a identificação dos seus responsáveis. 3. ESPECIFICAÇÕES MÍNIMAS DE HARWARE O hardware da solução contratada deve atender aos requisitos mínimos descritos a seguir. Essa especificação, além de garantir a compatibilidade, padronização e organização do nosso parque de equipamentos, tem o intuito de assegurar a qualidade dos equipamentos ofertados e equilibrar a concorrência entre os participantes do certame licitatório. 3.1. REQUISITOS GERAIS 3.1.1. Serão aceitas soluções baseadas em hardware do tipo appliance, assim caracterizado na documentação fornecida pelo fabricante dos equipamentos e softwares, composta de catálogos, folhetos, impressos ou manuais do fabricante. 3.1.2. Também serão aceitas soluções baseadas em software. Neste caso, a solução deve ser fornecida juntamente com um hardware para sua execução. 3.1.3. Os equipamentos que compõem a solução, devem atender a todas as especificações mínimas constantes deste edital, especialmente àquelas constantes do iten 3.2. 3.1.4. O hardware da solução contratada deve prover arquitetura em camadas, com componentes que permitam escalabilidade, de modo que os serviços não sofram descontinuidade em função do crescimento do ambiente. 3.1.5. Contorno automático de falhas: A solução contratada deve possuir mecanismos de contorno automático de falhas, que garantam que os serviços de acesso aos bancos de dados não sejam interrompidos, em casos de pane nos seus componentes de hardware ou software, bem como na ocorrência de eventos que levem ao seu desligamento (voluntário ou involuntário). 3.1.6. Componentes redundantes: Os equipamentos da solução contratada devem possuir características ou níveis de redundância para permitir a troca de componentes de hardware sem interrupção dos serviços. 3.2. REQUISITOS MÍNIMOS DE HARDWARE 3.2.1. PLACA PRINCIPAL Multiprocessada. Barramento, no mínimo, 1333 (mil, trezentos e trinta e três) MHZ. Pelo menos 01 (um) conector USB 2.0 livre, após a conexão de todos os periféricos (teclado, mouse, etc.). Os slots de memória devem suportar módulos de memória RAM do tipo DDR3 RDIMM e UDIMM, com tecnologia ECC. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 11 3.2.2. BIOS Implementação em memória atualizável por “software”. Relógio calendário (ano com quatro posições) de tempo real, não volátil. Possibilidade de selecionar a unidade de inicialização do sistema, contemplando disco rígido, disco ótico e unidade USB. Possibilidade de restringir o acesso às configurações por meio de senha. Armazenamento dos dados do "setup" em memória não volátil. Suporte à tecnologia SMART. Todos os itens que forem integrados à placa principal deverão possuir recursos para desativação, preferencialmente, via BIOS. Controle de acesso por senhas. Pelo menos uma exclusiva para inicialização do servidor e outra para acesso total, contemplando a alteração das configurações da BIOS. A BIOS deve possuir número de série/serviço identificando o servidor e/ou campo editável para esse fim. Esses campos devem ser acessíveis para leitura por software de gerenciamento. 3.2.3. PROCESSADOR Compatível com a arquitetura x86/64; Suporte a operações de 32 e 64 bits; Para soluções baseadas em software, o equipamento fornecido deve possuir um mínimo de dois processadores. Características de performance: Índice SPECint_rate2006 mínimo 320 (trezentos e vinte), auditado pelo SPEC e publicado no site www.spec.org. Caso o processador não seja do exato modelo do constante na auditoria feita pelo SPEC, SPECint_rate2006 estimado maior ou igual a 1 (um)*. *Este índice estimado é obtido através da expressão descrita abaixo. Para a estimativa, adota-se como referência outro servidor auditado pelo SPEC, que satisfaça ao índice mínimo exigido, e que seja de mesma arquitetura (mesma família do processador), do mesmo modelo e fabricante que suporta a mesma quantidade máxima de processadores, emprega memórias do mesmo tamanho e modelo, com clock igual ou superior e tenha data de lançamento posterior à do modelo auditado. CAI NF/CENIN Fórmula de cálculo: SPECint_rate2006 estimado = (#Proc x #Cores x Clock) / (#ProcAud x #CoresAud x ClockAud) onde: #Proc = quantidade de processadores no modelo ofertado ; Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 12 #Cores = quantidade de cores por processador no modelo ofertado. Clock = freqüência do clock (em GHz) em um só dos processadorres ofertados; #ProcAud = quantidade de processadores utilizados no Servidor auditado pelo SPEC; #CoresAud = quantidade de cores por processador auditado pelo SPEC;. ClockAud = freqüência de clock (em GHz) de cada processador utilizado no Servidor auditado pelo SPEC. 3.2.4. MEMÓRIA PRIMARIA (RAM ) Equipamentos do tipo appliance, devem possuir um mínimo instalado de 4 GB de RAM; Para soluções baseadas em software, o equipamento fornecido deve possuir um mínimo instalado de 16 GB de RAM; Mínimo 04 (quatro) GB de capacidade por pente. ECC (Error Control Check) PC3-10600E, de 1333 Mhz. 3.2.5. CONTROLADORA DE DISCOS RAID SAS (Serial Attached SCSI). Suporte aos níveis de RAID zero, um, cinco e zero-mais-um ou um-mais-zero por “hardware” e "hot spare" de disco. 512 (quinhentos e doze) MB de memória cache com bateria ou memória cache não volátil. Substituição de quaisquer discos rígidos sem necessidade de interrupção do funcionamento do microcomputador ("hot-swappable"). Admite-se a controladora embutida na placa principal, desde que mantidas as características descritas nos subitens anteriores. Caso a controladora seja embutida na placa principal, também deverá permitir atualização do firmware da controladora RAID. Taxa de transmissão de 6 (seis) Gbps. 3.2.6. UNIDADES DE DISCO RÍGIDO Dez mil rotações por minuto. SAS (Serial Attached SCSI), compatível com a controladora de discos. Permitir substituição “à quente” (“Hot-swappable” ou “Hot-pluggable”). Suporte à tecnologia SMART. Capacidade de armazenamento de no mínimo 500 GB Taxa de transmissão de 6 (seis) Gbps. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 13 3.2.7. GABINETE Deve acomodar todos os componentes do servidor. Altura máxima de 04 (quatro) RU, para racks de 19 polegadas. Indicador de estado dos equipamentos. Ventilação forçada independente e complementar aos sistemas de ventilação do(s) processador(es) e da(s) fonte(s) de alimentação. Trilhos para instalação em racks. Ventiladores redundantes. 3.2.8. FONTE DE ALIMENTAÇÃO Operação em 220V / 60 Hz. Redundância e balanceamento de carga. (mínimo de duas fontes) Substituível com servidor em operação (“Hot swappable” ou “hot-pluggable”). Capaz de suportar o equipamento em configuração completa. 3.2.9. INTERFACE DE REDE Devem possuir, pelo menos, duas portas de rede padrão 10GBASE (10 GbE), fibra, curto alcance Para conexão com a rede, juntamente com cada porta 10 Gb do hardware coletor deverão ser fornecidos o respectivo cordão óptico e a interface SFP+ 10 Gb a ser instalada do lado do switch. A especificação da interface utilizada nos switches é: Fabricante: HP; Part Number: JD092B; Descrição: HP X130 10G SFP+ LC SR Transceiver. Serão aceitas outras interfaces, desde que possuam total compatibilidade com a especificada. Deve possuir pelo menos 2 portas padrão Ethernet Padrão 10Base-T, 100Base-Tx e 1000Base-T. Deve suportar os padrões: Gigabit Ethernet (IEEE Std 802.3ab) e VLANs (IEEE 802.1Q). Detecção automática de velocidade (“autosensing”). Conector blindado, padrão RJ-45 fêmea. Comunicação em duas vias (“full duplex”) em 10Base-T e 100Base-TX. Suportar a especificação QoS, ACPI e TOE (TCP/IP Offload Engine) ou I/OAT (Intel aceleration technologies). SNMP, MIB II. Admite-se interface de rede embutida na placa principal, desde que mantidas as características descritas nos subitens anteriores. Deve ser totalmente compatível os switches utilizados na Rede de Dados da Câmara dos Deputados. 3.2.10. CAI NF/CENIN ACESSÓRIOS Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 14 Fornecimento de todos os dispositivos, cabos e conectores necessários à completa instalação, configuração e perfeita ativação dos computadores. Caso os suportes descritos no item GABINETE não sejam compatíveis mecanicamente para fixação nos racks de propriedade da Câmara dos Deputados marca Dell modelo PowerEdge 4210, a Licitante deverá fornecer, sem ônus adicional à Câmara dos Deputados, kits adicionais de suporte para os equipamentos fornecidos, de forma que possam ser instalados nos racks existentes. Durante vistoria, a licitante poderá verificar a necessidade ou não de fornecimento desses suportes adicionais. 4. DA GARANTIA DE FUNCIONAMENTO DA SOLUÇÃO: 4.1. Os equipamentos e softwares fornecidos serão garantidos na totalidade de seu funcionamento, por um prazo mínimo de 36 (trinta e seis) meses, contados da data do ACEITE DEFINITIVO; 4.2. Durante o prazo de garantia de funcionamento serão prestados serviços de suporte técnico, compreendendo manutenção preventiva e corretiva, com fornecimento de peças de reposição as expensas da contratada, conforme detalhado no Anexo n.º 05. 4.3. O adequado funcionamento da solução engloba a manutenção da performance da rede de dados e das transações com os bancos de dados monitorados. Uma possível condição de degradação de performance causada pelo equipamento fornecido será atestada por laudo técnico expedido pelo órgão fiscalizador e encaminhado à contratada para as devidas providências, de acordo com as condições estabelecidas no anexo 5. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 15 ANEXO N.º 03 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS LEVANTAMENTO DE DADOS PARA ESTIMATIVA DE PREÇOS As informações constantes deste anexo são preliminares, servem como base para estimativa inicial de preço. Informações complementares podem ser obtidas mediante solicitação, por e-mail, ao responsável pelo projeto. Para a formulação das propostas de preços definitivas, a serem consideradas no processo licitatório, sugerimos agendar uma visita para vistoria técnica, conforme especificado no item 10, do anexo 1, deste edital. 1. INFORMAÇÕES SOBRE OS SISTEMAS A SEREM MONITORADOS 1.1. Sistemas baseados em ORACLE nas versões 10g e 11g Sistema operacional LINUX RED HAT Enterprise Linux versões 5 ou 6; Servidores de banco de dados baseados em arquitetura x86 / 64; 4 servidores, com 2 Processadores Intel / Xeon 2.4 GHz, de 4 cores cada um e 96 GB de RAM. Os servidores operam em cluster (ativo/ativo), utilizando Oracle RAC (Real Application Clusters); O cluster ORACLE possui três instâncias ORACLE, com sistemas OLTP; A instância de maior demanda atende, no máximo, 3.000 chamadas de usuários (user calls) por segundo e gera 500 GB de registro de transações (log) por mês. 1.2. Sistemas baseados em SQL SERVER 2008 Sistema operacional enterprise windows Server 2008; Servidores de banco de dados baseados em arquitetura x86 / 64; 2 máquinas, com 2 Processadores Intel / Xeon 2.4 GHz, com 6 cores cada um e 96 GB de RAM. Essas máquinas possuem uma instância de banco de dados para sistemas OLTP; Operam em cluster (ativo/passivo), utilizando SQL SERVER 2008; Atende, no máximo, 8.000 transações por segundo (MSSQL$PROD:Databases Transactions/sec ). O registro de transações (MSSQL$PROD:Databases Log File(s) Used Size) se mantém estável em 2 GB ao longo do dia. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 16 2. ESQUEMA DE REDE SIMPLIFICADO DO SEGUIMENTO DE BANCOS DE DADOS A SER MONITORADO CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 17 ANEXO N.º 04 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS SERVIÇOS DE INSTALAÇÃO, CONFIGURAÇÃO, ATIVAÇÃO E OPERAÇÃO ASSISTIDA Os serviços especificados neste Anexo, destinam-se à colocar a solução adquirida em funcionamento, no regime de produção, dentro dos prazos e demais condições aqui estabelecidas. 1. INSTALAÇÃO, CONFIGURAÇÃO E ATIVAÇÃO 1.1. Será realizada reunião preparatória, antes do início das atividades de implantação da solução, envolvendo a equipe técnica da Câmara dos Deputados e os representantes do fornecedor, com o objetivo de detalhamento do roteiro de instalação, configuração e ativação, observando-se as especificações deste Anexo e o regime de produção dos serviços sob responsabilidade do CENIN; 1.1.1. Com base na ata da reunião preparatória, a Contratada produzirá e entregará ao Órgão Fiscalizador um documento com o roteiro de serviços, apresentando o detalhamento de atividades no que se refere à metodologia, forma e sequência de etapas para os procedimentos; 1.2. A instalação e configuração de todos os equipamentos e softwares será realizada utilizando equipe do fabricante, ou por ele homologada; 1.2.1. As atividades serão acompanhadas e supervisionadas pela equipe técnica da Câmara dos Deputados; 1.3. Os procedimentos de Instalação e Configuração dos equipamentos e softwares serão executados, em regra, nos dias úteis, no período das 8 às 18 horas; 1.3.1. Em caráter excepcional e a critério do Órgão Fiscalizador, as atividades poderão ser realizadas em dias e horários distintos do estabelecido, definidos em acordo com a Contratada; 1.4. A instalação, configuração e ativação engloba o conjunto de procedimentos necessários à colocação dos equipamentos e softwares fornecidos em pleno funcionamento, no local determinado neste Edital, em perfeitas condições de operação e de forma totalmente integrada ao ambiente de infraestrutura de informática da Câmara dos Deputados. O processo consistirá das etapas a seguir, que deverão ser realizadas em conformidade com o estabelecido na reunião preparatória: 1.4.1. Montagem, instalação e configuração dos equipamentos e softwares para a Solução Corporativa de Proteção e Auditoria dos Bancos de Dados adquirida; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 18 1.4.2. Implantação de ferramentas centralizadas de administração, gerenciamento e monitoração para a Solução Corporativa de Proteção e Auditoria dos Bancos de Dados; 1.4.3. Ativação da solução e liberação para entrada em produção. 1.5. PRAZO: os equipamentos e softwares serão instalados, configurados e ativados, conforme especificação deste Edital, tornando-os disponíveis para uso em regime de produção, no prazo máximo de 30 (trinta) dias, contados a partir da data do ACEITE DE ENTREGA. 1.5.1. O atraso no referido prazo implicará multa especificada no item 2 da Tabela de Multas do Anexo n.º 07; 2. OPERAÇÃO ASSISTIDA 2.1. O serviço de Operação Assistida deve ser prestado pela empresa contratada, no ambiente da Câmara dos Deputados, mediante a presença de um técnico certificado pelo fabricante do produto, por no mínimo 40 horas, acompanhado pela equipe responsável pelas atividades de operação, manutenção e suporte da solução. 2.2. O serviço será prestado, de forma contínua ou dividido em períodos de no mínimo 4 horas, no prazo máximo de 60 dias, a contar do aceite de ativação da solução, mediante solicitação do órgão fiscalizador. 2.3. O serviço de operação assistida tem como objetivos auxiliar o processo de implantação da solução, corrigir possíveis falhas, reduzir riscos de implantação, orientar sobre melhores práticas e transferir conhecimentos para a equipe da Câmara que ficará responsável pela operação e suporte de primeiro nível da solução contratada. 2.4. Este serviço deve incluir as seguintes atividades: 2.4.1. Execução de atividades operacionais, utilizando os procedimentos mais adequados e adaptados a realidade da Câmara dos Deputados (criação de usuários e regras, geração de relatórios, resolução de incidentes, etc.); 2.4.2. Execução de atividades de manutenção corretiva, utilizando os procedimentos que permitam maior eficiência e eficácia na solução de falhas; 2.4.3. Execução de atividades de manutenção preventiva, rotinas de testes, análises e medidas, utilizando procedimentos que assegurem mínima interferência na operação e máxima disponibilidade da solução; 2.4.4. Elaboração de procedimentos especiais ou detalhamento de procedimentos padrão, documentados e adaptados a realidade da Câmara dos Deputados; 2.4.5. Elaboração de relatórios de atividades, detalhando os procedimentos realizados e eventuais ajustes, se necessário. 2.5. Benefícios esperados: 2.5.1. Garantia de que a solução seja operada seguindo procedimentos de melhores práticas; 2.5.2. Redução da curva de aprendizado e transferência de conhecimento para a equipe da Câmara dos Deputados; 2.5.3. Melhor performance e disponibilidade da solução no início de sua operação. 2.5.4. Redução de impacto de implantação, com menor índices de incidentes gerados em função da implantação da nova tecnologia; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 19 2.5.5. Padronização de procedimentos, possibilitando que o cliente assuma as atividades com sua própria equipe no menor tempo possível; 2.5.6. Relatório ao final do período de operação assistida, contendo informações sobre atividades desenvolvidas e recomendações sobre como melhor utilizar a tecnologia. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 20 ANEXO N.º 05 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS SERVIÇOS DE SUPORTE TÉCNICO Os serviços especificados neste Anexo, com seus respectivos prazos e demais condições aqui estabelecidas, aplicam-se ao objeto da licitação, sendo que eventuais irregularidades são passíveis de multas descritas no Anexo n.º 07 e outras penalidades previstas em Lei. 1. DEFINIÇÕES PARA EXECUÇÃO DOS SERVIÇOS DE SUPORTE TÉCNICO 1.1.Atualização de software: durante o prazo de garantia serão fornecidos e instalados os pacotes de correções (“patches”) de software, atualizações de firmware e novas versões de softwares da solução, assim que se tornarem disponíveis pelo fabricante; 2.1.1. A contratada comunicará formalmente ao Órgão Fiscalizador a disponibilidade de “patches” e novas versões dos softwares; 2.1.2. O processo de instalação dos “patches” e novas versões dos softwares é de responsabilidade da contratada, e incluirá: 2.1.2.1. O levantamento de requisitos para a instalação e a avaliação do possível impacto, no ambiente operacional e nas aplicações de produção; 2.1.2.2. A certificação de compatibilidade das versões de todos os itens de software entre si e em relação aos equipamentos integrantes do ambiente de produção; 2.1.2.3. A re-configuração do ambiente, quando necessário; 2.1.3. Os procedimentos de atualização deverão ser previamente agendados junto ao Órgão Fiscalizador, que decidirá sobre a conveniência ou não da manutenção, acompanhará e validará os respectivos serviços; 2.1.4. A inobservância das obrigações aqui previstas, implicará a aplicação de multa descrita no item 3 do Anexo nº 07. 2.1. Manutenção corretiva: série de procedimentos destinados a recolocar os equipamentos e softwares em perfeito estado de funcionamento: 2.2.1. A manutenção corretiva será realizada a qualquer tempo, 24h (vinte e quatro) horas por dia, de segunda-feira a domingo, inclusive feriados; 2.2.2. A Contratada tornará disponíveis, em um prazo de 10 (dez) dias, contado a partir da assinatura do contrato, as informações necessárias ao acionamento do suporte, CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 21 identificando formalmente, junto ao Órgão Fiscalizador, seu preposto ou empregado com competência para manter entendimentos e receber comunicações, bem como os meios para contato; 2.2.3. Os serviços de manutenção corretiva serão realizados nas dependências da Câmara dos Deputados, no local onde os equipamentos estiverem instalados; 2.2.4. A substituição de equipamentos ou peças realizada durante a manutenção corretiva deverá ser realizada por itens novos e para primeiro uso; 2.2.5. Na comunicação a ser feita pelo Órgão Fiscalizador à Contratada, serão fornecidas as seguintes informações para abertura da respectiva ordem de serviço: 2.2.5.1. número de série do equipamento; 2.2.5.2. anormalidade observada; 2.2.5.3. nome do responsável pela solicitação do serviço; 2.2.5.4. nível de severidade do problema, que poderá ser: 2.2.5.4.1. Grave: no caso de situações de paralisação total de qualquer equipamento, paralisação parcial ou total de serviço crítico, ou ainda situações que causem impacto significativo na disponibilidade ou desempenho do serviço; 2.2.5.4.2. Moderado: paralisação parcial sem indisponibilidade de serviços e demais situações de impacto menor; 2.2.5.4.3. Baixo: Esse nível de severidade é aplicado para a instalação, configuração, esclarecimentos técnicos relativos ao uso da solução. Não haverá abertura de chamados de suporte técnico com esta severidade em sábados, domingos e feriados. 2.2.6. A Contratada deverá viabilizar serviço de suporte por meio de telefone, para os casos de severidade baixa, em que não for necessária a presença de técnico, com o objetivo de esclarecimento de dúvidas relativas ao uso, instalação e configuração dos equipamentos e softwares, bem como para o acompanhamento da resolução de problemas; 2.2.7. A Contratada deverá comunicar, por escrito, ao Órgão Fiscalizador, sempre que constatar condições inadequadas de funcionamento ou má utilização a que estejam submetidos os equipamentos da solução, fazendo constar a causa da inadequação e respectiva ação de correção; 2.2.8. Durante o período de vigência da garantia, a Contratada deverá promover o isolamento, a identificação e a caracterização de falhas de softwares (“bugs”), devendo encaminhá-las ao laboratório do fabricante, acompanhar a resolução e implementar os procedimentos corretivos; 2.2.8.1. Considera-se falha de software, o comportamento ou características que se mostrem diferentes daquelas previstas na documentação do produto e nas especificações técnicas. 3.1. Prazo de atendimento: tempo decorrido entre o acionamento do suporte técnico, por meio da comunicação feita pelo Órgão Fiscalizador à Contratada, e o primeiro encaminhamento; 2.3.1. A Contratada deverá atender aos chamados técnicos referentes a problemas de hardware e software empregados na solução, no prazo máximo de 2 (duas) horas, CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 22 sendo facultado ao Órgão Fiscalizador a exigência da presença de um técnico no local para o atendimento; 2.3.2. Em caso de problemas de hardware, confirmado pela contratada, esta deverá encaminhar um técnico ao local no prazo máximo de 4 horas para iniciar a reparação do problema; 2.3.3. A inobservância das obrigações previstas implicará a aplicação de multa descrita no item 4 do Anexo nº 07. 4.1. Prazo de reparação: tempo decorrido entre o acionamento do suporte técnico, por meio da comunicação feita pelo Órgão Fiscalizador à Contratada, e o restabelecimento do perfeito estado de funcionamento dos equipamentos e serviços ou resolução de demais problemas requisitados; 2.4.1. Tratando-se de problema com nível de severidade Grave, conforme definido no subitem 2.2.5.4. deste Anexo, o prazo de reparação será de até 8 (oito) horas. 2.4.2. Para problemas com nível de severidade Moderado, conforme definido no subitem 2.2.5.4. deste Anexo, o prazo de reparação será de até 12 (doze) horas; 2.4.3. Para problemas com nível de severidade Baixo, conforme definido no subitem 2.2.5.4. deste Anexo, o prazo de reparação será de até 5 (cinco) dias úteis; 2.4.4. A inobservância das obrigações previstas implicará a aplicação de multa descrita nos subitens 5.1 ou 5.2 do Anexo nº 07, de acordo com a severidade do problema (grave ou moderado). 2.4.4.1. A operação da solução em modo de contingência ou fornecimento de solução de contorno, desde que aceitos pelo Órgão Fiscalizador, isenta a contratada da multa. 5.1. Remoção de equipamentos: A retirada de equipamentos substituídos das dependências da Câmara dos Deputados implicará a autorização do Órgão Fiscalizador; 6.1.Relatórios técnicos: 2.6.1. Os chamados técnicos realizados pelo Órgão Fiscalizador serão registrados pela Contratada, para acompanhamento e controle da execução dos serviços; 2.6.2. A contratada apresentará um relatório de visita, contendo identificação do equipamento, número de série, data e hora da abertura do chamado, data e hora do término da reparação, identificação do defeito, do técnico responsável pela execução do serviço, providências adotadas e outras informações pertinentes; 2.6.3. O relatório será assinado por servidor do Órgão Fiscalizador na condição de responsável pelo acompanhamento dos serviços; 2.6.4. A contratada informará imediatamente ao Órgão Fiscalizador, em relatório específico, todas as anormalidades verificadas na execução dos serviços; 2.6.5. No relatório técnico deverão constar de forma clara: o diagnóstico do problema e a solução adotada, bem como dados e circunstâncias julgados necessários ao esclarecimento dos fatos; 7.1. Acesso Remoto: 2.7.1. Será controlado pelo Órgão Fiscalizador; 2.7.2. A duração do acesso será restrita ao tempo necessário para resolução do problema; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 23 2.7.3. Cabe ao fornecedor informar antecipadamente ao Órgão Fiscalizador, qualquer necessidade de acesso remoto; 2.7.4. Todas as intervenções realizadas remotamente são de responsabilidade do fornecedor, cabendo ao mesmo responder por quaisquer danos porventura decorrentes dessas intervenções, bem como pela divulgação não autorizada e indevida de quaisquer dados ou informações contidas no ambiente. 8.1. Taxa Útil Operacional (TUO): porcentagem apurada mensalmente da disponibilidade real da solução fornecida, em relação ao total de horas do período mensal, descontados os períodos de paradas programadas. 2.8.1. Serão consideradas como horas de indisponibilidade as interrupções de serviço decorrentes de problemas com nível de severidade grave, conforme definição do subitem 2.2.5.4.1. ; 2.8.2. A contagem do número de horas de indisponibilidade de serviço será iniciada com o acionamento do suporte técnico, por meio da comunicação feita pelo Órgão Fiscalizador à Contratada, e encerrada com o restabelecimento do perfeito estado de funcionamento dos serviços, os valores serão totalizados no final do período mensal; 2.8.3. A apuração da TUO será realizada a partir da data do Aceite Definitivo; 2.8.4. A Contratada obriga-se a manter TUO mínima de 98,30% (noventa e oito inteiros e trinta centésimos por cento); 2.8.5. O não atendimento da TUO mínima especificada sujeita a Contratada à aplicação de multa conforme tabela de progressão definida no item 6 do Anexo nº 07; 1.1.1.1. Caso o não atendimento da TUO seja provocado por comprovado mau uso da solução, a contratada será isenta de multa. O mau uso deve ser comunicado pela contratada conforme descrito no item 1.2.7 e atestado pelo Órgão Fiscalizador. 1.1.2. A TUO será calculada por meio da expressão matemática abaixo, sendo considerada a parte inteira e duas casas decimais do resultado: (THM-THP-TPP) TUO(%) = ------------------------- x 100 (THM-TPP) Onde, TUO (%) THM (h) THP (h) TPP (h) = Taxa Útil Operacional; = Total de horas do período mensal (24 * número de dias do mês); = Somatório do total de horas paradas durante o período mensal; = Total de horas paradas programadas durante o período mensal (por solicitação do Órgão Fiscalizador); 2. OUTROS ASPECTOS RELACIONADOS À EXECUÇÃO DOS SERVIÇOS DE SUPORTE TÉCNICO: 2.1. A contratada deverá viabilizar, por meio de internet, acesso à Base de Conhecimento de problemas e soluções, relativa a todos os equipamentos e softwares integrantes da solução; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 24 2.2. As atividades de manutenção e suporte técnico deverão ser gerenciadas pela contratada e realizadas por equipes próprias ou por ele autorizadas; 2.3. A contratada deverá possuir Centro de Suporte, com atendimento em português; 2.4. Além do previsto neste Edital e em seus Anexos, a contratada cumprirá as instruções complementares do Órgão Fiscalizador quanto à execução e horário de realização dos serviços, normas de segurança, permanência e circulação de seus empregados nas dependências da Câmara dos Deputados; 2.5. A inobservância das obrigações previstas implicará a aplicação de multa descrita no item 9 Anexo nº 07; 2.6. A contratada assumirá inteira responsabilidade por danos ou desvios causados ao patrimônio da Câmara dos Deputados, por ação ou omissão de seus empregados ou prepostos, no exercício de atribuições previstas neste Edital; CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 25 ANEXO N.º 06 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS CAPACITAÇÃO OPERACIONAL CONDIÇÕES GERAIS DE CAPACITAÇÃO OPERACIONAL 1.1. A capacitação operacional será realizada em Brasília – DF, com carga horária máxima de 4 (quatro) horas por dia; 1.2. Será realizada para a plataforma e versão dos softwares adquiridos; 1.3. A Contratada deverá seguir o conteúdo programático oficial dos fabricantes dos produtos fornecidos, devendo complementá-los, com a visão específica utilizada na solução da Câmara dos Deputados, de acordo com o conteúdo mínimo definido no título 2 deste Anexo; 1.4. A empresa deverá capacitar pessoas para administrar a solução e usuários que serão consumidores das informações de auditoria. 1.5. Participarão dos treinamentos 4 servidores no módulo de Administração e 6 no módulo de Operação. No dimensionamento do número de participantes levou-se em consideração a participação de servidores das áreas de bancos de dados, segurança, desenvolvimento de sistemas e auditores da Secretaria de Controle Interno, que são as áreas diretamente relacionadas com a implantação da solução contratada. 1.6. O programa de capacitação operacional deve ser finalizado em até 90 (noventa) dias da assinatura do contrato; 1.6.1. O não cumprimento do prazo pela Contratada, implicará multa prevista no item 8 do Anexo n.º 07; 1.7. Os instrutores deverão ser certificados pelo fabricante dos produtos, bem como possuir experiência mínima de 3 (três) anos em treinamentos similares; 1.8. A Contratada disponibilizará ambiente para realização da capacitação operacional, além de todos os insumos e recursos necessários para a sua realização, observando a disponibilidade de uma estação de trabalho por participante; 1.8.1. Alternativamente, o treinamento poderá ser realizado nas dependências da Câmara dos Deputados, desde que haja a concordância do órgão fiscalizador, podendo ser utilizados no treinamento, os próprios equipamentos fornecidos na solução, devendo a contratada oferecer os demais recursos necessários. 1.9. Deverão ser fornecidas, no início da capacitação, apostilas que abordem todo o conteúdo CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 26 programático, originais e reconhecidas pelo fabricante; 1.10. A contratada fornecerá aos participantes aprovados na capacitação operacional os respectivos certificados oficiais de conclusão de cada módulo, homologados pelo fabricante; 1.11. Ao final de cada módulo de capacitação operacional, será realizada avaliação de qualidade, por parte dos participantes, em questionário fornecido pela Contratada, em escala de 0 (zero) a 10 (dez), que abrangerá os aspectos relativos ao material fornecido, ao instrutor, ao conteúdo programático e à infra-estrutura; 1.11.1. A Avaliação será considerada negativa e a contratada ficará obrigada a reeditar o módulo, caso a avaliação final do módulo apresente média inferior a 7 (sete); 2. CONDIÇÕES ESPECÍFICAS PARA A CAPACITAÇÃO OPERACIONAL 2.1. A contratada deverá apresentar ao órgão fiscalizador ementa para aprovação, com carga horária e conteúdo programático a serem abordados no treinamento. A ementa deve abordar, no mínimo, os itens descritos nos itens 2.1 e 2.2, a seguir. A carga horária mínima exigida será de 40 horas, somados os dois módulos a seguir; 2.2. Administração, e Gerência da Solução contratada 2.2.1. Quantidade: 4 (quatro) vagas; 2.2.2. Carga horária mínima: 12 (doze) horas; 2.2.3. Conteúdo programático abordando no mínimo os seguintes tópicos: 2.2.3.1. Arquitetura, topologia e protocolos; 2.2.3.2. Criação, alteração e remoção de regras e outros parâmetros; 2.2.3.3. Definição de grupos de acesso; 2.2.3.4. Gerenciamento de falhas, diagnóstico e solução de problemas; 2.2.3.5. Gerenciamento de desempenho; 2.2.3.6. Backup e Restore 2.3. Operação da Solução contratada 2.3.1. Quantidade: 6 (seis) vagas; 2.3.2. Carga horária mínima: 8 (oito) horas; 2.3.3. Conteúdo programático abordando no mínimo os seguintes tópicos: 2.3.3.1. Arquitetura, topologia e conceitos básicos; 2.3.3.2. Criação de filtros de monitoramento para situações específicas; 2.3.3.3. Geração de relatórios pré-configurados e personalizados; 2.3.3.4. Outras formas de extração dos dados de auditoria 2.3.3.5. Desenvolvimento de estudos de caso. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 27 ANEXO N.º 07 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS 1. TABELA DE MULTAS Para efeito de aplicação de multas à contratada pela inobservância das obrigações descritas neste Edital, são atribuídos percentuais sobre o valor global do contrato, conforme tabela abaixo: INFRAÇÃO PERCENTUAL 1. Deixar de entregar componentes que impeçam a instalação e ativação da solução contratada dentro do prazo previsto, por dia de atraso, considerando, de forma cumulativa: 1.1. Os dias de atraso, do 1º ao 10º dia, por dia de atraso; 0,05% 1.2. Os dias de atraso, do 11º ao 20º dia, por dia de atraso; 0,08% 1.3. Os dias de atraso, do 21º ao 30º dia, por dia de atraso; 0,12% 1.4. Os dias de atraso, a partir do 30º dia, por dia de atraso; 0,17% 2. Deixar de cumprir prazo de instalação, configuração e ativação, considerando, de forma cumulativa: 2.1. Os dias de atraso, do 1º ao 10º dia, por dia de atraso; 0,06% 2.2. Os dias de atraso, do 11º ao 20º dia, por dia de atraso; 0,09% 2.3. Os dias de atraso, do 21º ao 30º dia, por dia de atraso; 0,13% 2.4. Os dias de atraso, a partir do 30º dia, por dia de atraso; 0,18% 3. Deixar de comunicar a disponibilidade, instalar ou re-configurar ambiente com 0,10% novas versões dos softwares ou “patches” empregados na solução, por ocorrência 4. Deixar de cumprir prazo de atendimento dentro do previsto, por hora de atraso 0,03% 5. Deixar de cumprir prazo de reparação, dentro do previsto, por hora de atraso: 5.1 para problemas moderados 0,02% 5.2 para problemas graves 0,03% 6. Deixar de manter a taxa útil operacional (TUO) mensal em percentual igual ou superior ao contratado, por hora de indisponibilidade: 6.1. Considerando o número de horas paradas até 2 (dois) pontos percentuais 0,03% abaixo da TUO contratada. 6.2. Considerando o número de horas paradas além de 2 (dois) pontos 0,05% percentuais e até 6 (seis) pontos percentuais abaixo da TUO contratada 6.3. Considerando o número de horas paradas além de 6 (seis) pontos 0,07% percentuais e até o limite máximo de 10% do valor total contratado 7. Provocar a interrupção involuntária dos serviços de acesso aos bancos de dados, servidores de aplicação ou qualquer outro componente da rede, por mau 0,05% funcionamento em componentes de hardware ou software da solução contratada. 8. Deixar de cumprir prazo de conclusão da capacitação operacional, por dia de 0,03% atraso. 9. Descumprir qualquer outra exigência ou obrigação contratual, ou legal, ou incorrer em qualquer outra falta para a qual não se previu multa diversa, por 0,10% ocorrência. CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 28 ANEXO N.º 08 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS TERMO DE VISTORIA Declaramos que conhecemos plenamente a localização, as dimensões, o ambiente de produção e a infraestrutura existentes para o correto dimensionamento da solução e colocação em funcionamento dos equipamentos e software relacionados ao objeto da Concorrência n° /2012. Brasília, ___ de __________ de 201_. __________________________________________ CARIMBO E ASSINATURA DO RESPONSÁVEL TÉCNICO OU REPRESENTANTE LEGAL DA EMPRESA VISTO DO ÓRGÃO FISCALIZADOR: Brasília, ___ de __________ de 201_. ________________________________________ Representante do CENIN Ponto: ________ CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 29 ANEXO N.º 09 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS MODELO DE PROPOSTA OBJETO: Contratação de solução corporativa de auditoria para os bancos de dados corporativos da Câmara dos Deputados, composta por um conjunto de equipamentos e softwares, envolvendo entrega de seus componentes, serviços de instalação assistida, ativação, configuração, capacitação operacional, garantia de funcionamento e suporte técnico de software e equipamentos, pelo período mínimo de trinta e seis meses. Nome da empresa: Endereço da empresa: Concorrência nº: Descrição e detalhamento da proposta: Itens Classificação: Preço (Além dos demais itens de serviço, especifique os valores de Serviço ou hardware e software separadamente, mesmo que não sejam Equipamento vendidos de forma isolada. Itens opcionais também devem ser cotados de forma individualizada) Preço Unitário Total (R$) (R$) 1- Componentes de “hardware” (detalhamento) 2- Componentes de software (detalhamento individual das licenças) 3- Serviços de instalação e ativação (conforme o título 1 do Anexo n.º 04) 4- Serviços de operação assistida (conforme o título 2 do Anexo n.º 04) 5- Serviços de garantia e suporte técnico (conforme o Anexo nº 05) 6- Capacitação operacional (conforme Anexo nº 06) Valor Total da Proposta: Valor Total dos Serviços: Valor Total dos Equipamentos: CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 30 ANEXO N.º 10 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS PROPOSTAS COMERCIAIS DE PREÇOS, COLETADAS JUNTO AOS FORNECEDORES PARA ESTIMATIVA DE CUSTOS CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 31 ANEXO N.º 11 PROJETO BÁSICO PARA AQUISIÇÃO DE SOLUÇÃO CORPORATIVA DE PROTEÇÃO E AUDITORIA DOS BANCOS DE DADOS RELATÓRIOS DAS PROVAS DE CONCEITOS CAI NF/CENIN Aquisição de Solução Corporativa de Proteção e Auditoria dos Bancos de Dados - Anexos Página 32