Você está na página 1de 37

SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

AQUISIÇÃO DE SOLUÇÃO DE
ANTIVIRUS

Planejamento da Contratação - PCTI

Versão 1.0

Página 1 de 37
SUMÁRIO

ESTUDO TÉCNICO PRELIMINAR - ETP 3

1. DESCRIÇÃO DA SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO 4


2. ADERÊNCIA ESTRATÉGICA DO PROJETO 4
3. NECESSIDADES DE NEGÓCIO 4
4. DETALHAMENTO DOS BENS E SERVIÇOS QUE COMPÕE A SOLUÇÃO 6
5. ANÁLISE DAS ALTERNATIVAS EXISTENTES 7
6. NECESSIDADES DE ADEQUAÇÃO DO AMBIENTE 10
7. SOLUÇÃO ESCOLHIDA 10
8. RECURSOS NECESSÁRIOS PARA A CONTRATAÇÃO 24
9. SEGURANÇA DA INFORMAÇÃO 25
10. ESTRATÉGIA DE CONTINUIDADE CONTRATUAL 25
11. ESTRATÉGIA DE INDEPENDÊNCIA 26
12. TRANSIÇÃO E ENCERRAMENTO CONTRATUAL 26
13. CONTINUIDADE EM CASO DE INTERRUPÇÃO CONTRATUAL 26
14. VIABILIDADE DA CONTRATAÇÃO 26
15. ASSINATURAS 27

ANÁLISE DE RISCO - AR 30

1. INTRODUÇÃO 30
2. ESTRATÉGIA DE GERENCIAMENTO DE RISCOS 30
3. TABELA DE TRATAMENTO DE RISCO 32
4. ASSINATURAS 35

ANEXOS 36

ANEXO I – ANÁLISE DE CUSTO DA SOLUÇÃO 37

Commented [I1]: Necessário atualizar o sumário (itens e


número de páginas)
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

ESTUDO TÉCNICO
PRELIMINAR - ETP

Página 3 de 37
1. DESCRIÇÃO DA SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO

A presente análise tem por objetivo verificar a viabilidade técnica e do fornecimento de solução
centralizada de Antivírus Corporativo com garantia de atualização contínua, serviços de treinamento,
implantação, manutenção preventiva e suporte técnico especializado 24x7, pelo período de 36 (trinta e seis)
meses para a segurança e proteção do ambiente de TIC da SECRETARIA DE SAÚDE DO DISTRITO FEDERAL,
bem como fornecer informações necessárias para subsidiar o respectivo processo de contratação.

2. ADERÊNCIA ESTRATÉGICA DO PROJETO

2.1. Caracteriza-se como comum, pois os padrões de desempenho e de qualidade podem ser
objetivamente definidos com base em especificações usuais no mercado, conforme Acórdão nº
2.471/2008-TCU-Plenário. Assim sugere-se a adoção da modalidade pregão.

"Consideram-se bens e serviços comuns aqueles cujos padrões de desempenho e


qualidade possam ser objetivamente definidos no edital, por meio de especificações
usuais praticadas no mercado. Bens e serviços comuns são ofertados, em princípio, por
muitos fornecedores e comparáveis entre si com facilidade.”

2.2. Esse instrumento guarda observância à lei de licitações para contratação de serviços na
administração pública e ao Plano Diretor de Tecnologia da Informação.
2.3. Cabe salientar que a referida análise e elaboração desse instrumento não afasta a apreciação da
Consultoria Jurídica da Secretaria de Saúde do Distrito Federal.

Tal aquisição está prevista no PDTI 2019-2022, necessidades identificadas no quadro a seguir:
2.4. O quadro abaixo demonstra o alinhamento do PDTI

PDTI
ITEM
AÇÕES ESTRATÉGICAS DEMANDANTE
Equipar, modernizar e dar suporte à infraestrutura de CTINF
A7
computadores e de rede nas unidades de saúde. FHB
Modernizar e ampliar a infraestrutura de TIC das unidades de
A11 CTINF
saúde.
A19 Implantar a Política de Segurança da Informação da SES-DF. CTINF
CTINF
Definir e Implantar serviços de segurança da informação, incluindo
A20 SAIS
o serviço continuado de Certificação Digital.
SUGEP
A23 Implantar solução para garantir a continuidade dos serviços de TIC. CTINF

3. NECESSIDADES DE NEGÓCIO

3.1. Ao longo dos anos a Secretaria de Saúde do Distrito Federal tem investido em serviços e recursos de
tecnologia da informação e comunicação, de forma a assegurar o desempenho de suas atividades
institucionais, possibilitando o tratamento e segurança de um grande e variado volume de informações
em constante crescimento e com complexas integrações sistêmicas.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
3.2. A evolução da complexidade das demandas e soluções inerentes às atividades institucionais,
decorrentes do desafio de Gestão do Ambiente de TIC, exige uma adequação e constante atualização das
medidas que visam proteger e assegurar a segurança, qualidade e desempenho dos serviços prestados,
de forma contínua e interrupta.
3.3. A pretendida contratação faz-se indispensável, pois visa prover segurança, proteção e automação do
monitoramento da rede da Secretaria de Saúde do Distrito Federal e de suas respectivas unidades, de
forma a minimizar e, em grande parte, coibir a contaminação dos serviços e sistemas informatizados por
programas ou atividades digitais maliciosas, contribuindo para a garantia do nível mínimo adequado e
desejado de proteção dos dados e informações do Órgão.
3.4. É fundamental manter recursos tecnológicos que garantam a segurança dos dados e informações de
propriedade ou sob custódia das áreas de negócio Secretaria de Saúde do Distrito Federal, haja vista a
necessidade precípua de proteção de tais ativos, de grande valor para a Secretaria, contra os mais
diversos tipos de ameaças, conforme estabelecido nas diretrizes da Política de Segurança da Informação
e Comunicações – POSIC do SES.
3.5. A aquisição da solução de antivírus centralizada permitirá que as áreas responsáveis pela
administração dos recursos de Infraestrutura de Tecnologia da Informação da SES mantenham os níveis
exigidos de segurança das informações trafegadas em rede e os controles e políticas necessárias para
certificar que tais informações estão sendo acessadas e manipuladas somente por pessoas autorizadas.
Tal fato resulta em otimização da infraestrutura de segurança dos dados armazenados na instituição e,
também, provê serviços com confidencialidade para as informações trafegadas e armazenadas nas
estações de trabalho e nos mais diversos sistemas corporativos da SES e suas unidades.
3.6. A solução de antivírus corporativo atual adotada é composta de uma dashboard centralizada e
software de proteção antivírus instalado nas estações de trabalho, computadores portáteis, dispositivos
móveis e servidores do ambiente de TIC da Secretaria de Saúde.
3.7. Apesar da solução de antivírus corporativo atual encontrar-se instalada no ambiente de TIC, o
contrato garantia de atualização contínua (vacinas) e suporte técnico especializado está vencido,
impossibilitando a rotina de atualizações completas das políticas de segurança, vacinas e software de
gerenciamento, assim como o upgrade de toda a solução, já disponibilizada no mercado com novas
funções e políticas.
3.8. Sem o upgrade da versão da solução, a atualização das políticas e vacinas contra os novos vírus e
malwares ficam obsoletas, não garantindo cobertura completa da solução, além de deixar descobertos
os serviços de suporte especializado.
3.9. É essencial que os serviços de implantação, treinamento, manutenção preventiva e suporte
especializado da solução sejam contratados em conjunto para que o ambiente de TIC fique seguro e não
comprometa as informações inerentes ao funcionamento do negócio da Instituição, uma vez que
poderemos contar com o apoio de serviços especializados e necessários para a qualidade e preservação
do investimento.

Página 5 de 37
4. DETALHAMENTO DOS BENS E SERVIÇOS QUE COMPÕE A SOLUÇÃO

Item Descrição Unidade Qtde

Fornecimento de Solução de Antivírus


01 Corporativo com garantia de atualização Licença 15.000
contínua pelo período de 36 (trinta e seis) meses

Serviços de treinamento, implantação,


manutenção preventiva e suporte técnico
02 Mensal 36
especializado 24x7 para a Solução de Antivírus
Corporativo fornecida
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

5. ANÁLISE DAS ALTERNATIVAS EXISTENTES

O mercado de soluções de segurança com gerência centralizada para controle de ameaças em


estações de trabalho apresenta diversos fabricantes e soluções conforme pode ser visto em levantamento
anual realizado pelo Gartner1 acerca de soluções centralizadas de antivírus. Commented [I2]: Remover

Figura 1- Plataformas de Proteção de Endpoints (Gartner 2017)

O gráfico acima considerou as seguintes funcionalidades dos produtos ofertados, em termos de categorias
de visão:
1. Capacidade de Prevenção e Detecção Antimalware;
2. Capacidade de Gerenciamento e disponibilização das informações;
3. Capacidade de Gerenciamento da aplicação;
4. Plataformas suportadas;
5. Inovação;
6. Estratégia Geográfica.
Neste quadrante, entende-se como Líder (Leaders) o conjunto de empresas que demostrou esforço
e um progresso equilibrado na execução de todas as categorias de visão apresentadas. As Desafiadoras
(Challengers) são aquelas empresas que possuem produtos antimalware sólidos que abordam as
necessidades fundamentais de segurança exigidos pelo mercado de massa. As visionárias (Visionaries) são
aquelas que investem em recursos inovadores como o malware avançado e recursos de proteção e
gerenciamento que serão significativos na próxima geração de produtos, com possibilidade de ofertar aos
compradores acesso antecipado a uma melhor segurança e gerenciamento. Por fim, as empresas de nicho

1
https://www.gartner.com/technology/about.jsp
Página 7 de 37
de mercado (Niche Player) oferecem soluções sólidas de antimalware, mas raramente lideram o mercado
em recursos ou funções.
Diante desta breve análise do mercado de soluções de proteção centralizada antimalware, constata-
se que o mercado é diversificado, está aquecido com a entrada de novos players, apesar de manter o mesmo
grupo de empresas líderes em comparação aos últimos 4 anos.
Contudo, o rápido ritmo de inovação das soluções requer uma revisão da postura das contratantes
com vistas a reduzir o grau de dependência tecnologia ou contratual a determinada solução.
Além disso, depreende-se dessa análise de mercado que as funcionalidades apresentadas pelas
soluções antimalware são comuns a diversos tipos de produtos, possibilitando ampla competitividade e
diversidade na oferta de diferentes soluções com resultados e benefícios similares.
O modelo de negócio adotado pelo mercado de antivírus consiste na venda da subscrição do produto
com direito a atualização do software período pré-definido, além da prestação de serviços correlatos, tais
como suporte técnico, instalação e treinamento.
Uma vez contratada a subscrição, o modelo de negócio deste tipo de solução apresenta um
mecanismo de fidelização por meio de renovações mediante descontos pré-definidos que variam de
fabricante para fabricante.
Com vistas a verificar o eventual ganho na adoção dessas políticas de descontos mediante renovação
das licenças, colacionou-se, no gráfico e tabela a seguir, de diversos fabricantes os respectivos preços
praticados na aquisição e na renovação para soluções similares de End Protection.

Gráfico 1 – Custo de renovação vs custo de aquisição (por usuário) entre algumas soluções de mercado Gartner 2017
CUSTO DE AQUISIÇÃO CUSTO DE RENOVAÇÃO REDUÇÃO DO CUSTO DA
POR USUÁRIO (U$) POR USUÁRIO (U$) RENOVAÇÃO
TREND MICRO ENTERPRISE SECURITY FOR ENDPOINTS 31,98 24,55 23%
ADVANCED 3 YEAR

ESET ENDPOINT PROTECTION ADVANCED, 3 YEAR 36,1 27,08 25%

SYMANTEC ENDPOINT PROTECTION 14 3-YEAR 46,99 38,99 17%


SUBSCRIPTION

KASPERSKY ENDPOINT SECURITY FOR BUSINESS 51,15 35,8 30%


ADVANCED - 3-YEAR (BAND U)

BITDEFENDER GRAVITYZONE ADVANCED BUSINESS 81,65 53,08 35%


SECURITY 3 YEAR

Tabela 1- Análise Comparativa Aquisição Vs Renovação (Fonte própria)


SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
A tabela acima demonstra que há uma política de redução de custos unitários na renovação das
licenças por parte dos fabricantes. Entretanto, a taxa de redução varia de fabricante para fabricante, bem
como o custo de aquisição das licenças.
Outro ponto que merece destaque na análise da política de renovação de licenças é a forte correlação
positiva (Coeficiente de correlação de Pearson que varia de -1 a 1 foi aferido em 0,7171) entre o custo de
inicial de aquisição e a taxa de redução do custo de renovação, ou seja, quanto maior o custo inicial de
licenciamento maior tende a ser o desconto na renovação.
Esta correlação é verdadeira para quase totalidade das soluções analisadas, à exceção da solução
proposta pela Symantec, cuja redução de custos mostrou-se inferior a redução proposta por outros
fabricantes com preços de licenciamento inferiores. Nesse sentido, a avaliação de diferentes soluções deve
considerar tanto a renovação quanto a aquisição de novo produto como alternativas para a análise
comparativa de custos totais de propriedade.

5.1. AVALIAÇÃO DE DIFERENTES SOLUÇÕES

5.1.1. Cenário 1
5.1.1.1. Descrição: Contratação de empresa especializada para a renovação de assinatura
(subscription) de 200 (duzentas) licenças de uso de software da suíte McAfee Complete Endpoint
Protection Enterprise. Commented [I3]: Este não é o objeto do Pregão 004/2019 do
CFMV. O processo foi de aquisição e não de renovação
5.1.1.2. Fornecedor: Conselho Federal de Medicina Veterinária – Pregão Nº 004/2019
5.1.1.3. Análise da Solução: Aderente.

CUSTO TOTAL DE PROPRIEDADE


ITEM VALOR (R$)
1. Licença de Software, Suporte, Atualização e Treinamento R$ 100,00
TOTAL GERAL (Quantitativo SAS) R$1.500.000,00

5.1.2. Cenário 2
5.1.2.1. Descrição: RENOVAÇÃO e AQUISIÇÃO DE LICENÇAS ANTIVIRUS E DE LICENÇAS ANTISPAM. Commented [I4]: Acho que seria interessante considerar
contratações exclusivamente de antivírus e não com outra solução
5.1.2.2. Fornecedor: Procuradoria Geral de Justiça do Estado de Roraima – Pregão Nº 00011/2018 (antispam) agregada

(SRP)
5.1.2.3. Análise da Solução: Aderente.

CUSTO TOTAL DE PROPRIEDADE


ITEM VALOR (R$)
1. Licença de Software, Suporte, Atualização e Treinamento R$ 139,40 Commented [I5]: O valor unitário e final da compra não seria
R$ 132,37?
TOTAL GERAL (Quantitativo SAS) R$ 2.091.000

Página 9 de 37
5.1.3. Cenário 3
5.1.3.1. Descrição: Licenças de solução corporativa de antivírus, em conformidade com o Termo
de Referência e demais exigências do Edital.
5.1.3.2. Fornecedor: Secretaria de Estado de Planejamento e Gestão – Nº 00125/2018 (SRP)
5.1.3.3. Análise da Solução: Aderente.

CUSTO TOTAL DE PROPRIEDADE


ITEM VALOR (R$)
1. Licença de Software, Suporte, Atualização e Treinamento R$ 89,54 Commented [I6]: O valor unitário e final da compra não seria
R$ 36,99?
TOTAL GERAL (Quantitativo SAS) R$ 1.343.100,00

6. SOLUÇÃO ESCOLHIDA

6.1. JUSTIFICATIVA DA SOLUÇÃO ESCOLHIDA

Todos os cenários expostos são aderentes às necessidades da Secretaria de Saúde do Distrito Federal.
A equipe de planejamento da contratação constatou que a prática comum em órgãos públicos é a aquisição
da licença do software e o período de assinatura, que corresponde ao período que as vacinas serão
atualizadas para as novas ameaças incluindo serviços de instalação, repasse de conhecimento com
treinamento oficial, manutenção preventiva, suporte técnico on-site, garantia e atualização por 36 (trinta e
seis) meses.

6.2. BENEFÍCIOS DAS SOLUÇÕES DE ANTIVÍRUS

São benefícios esperados da implementação das soluções de antivírus:


ID BENEFÍCIOS A SEREM ALCANÇADOS

1 Continuar oferecendo Infraestrutura de TI adequada para que as áreas finalísticas do negócio da


SES/DF continuem operacionais; Commented [I7]: Não seria “da SES/DF”?

2 Contribuir para garantia de um nível adequado de disponibilidade, autenticidade e confiabilidade


das informações produzidas e armazenadas em meios tecnológicos;
3 Oferecer maior agilidade e eficácia no tratamento de incidentes envolvendo endpoints (estações
de trabalho e notebooks) comprometidos;
4 Evitar, mitigar e conter a propagação de pragas digitais facilitando o tratamento destes incidentes
(vírus/malwares/spywares,entre outros) com a administração centralizada da solução de proteção;
5 Permitir o controle de acesso à rede por dispositivos computacionais, permitindo gerenciamento
destes dispositivos;
6 Gerar economicidade e melhoria de qualidade do serviço de proteção de endpoints.
7 Mitigar riscos de infecção na transição entre soluções de antivírus

7. NECESSIDADES DE ADEQUAÇÃO DO AMBIENTE

7.1. Todos os espaços físicos, mobiliários e equipamentos necessários à boa execução contratual já estão
disponíveis no ambiente da CONTRATANTE, não necessitando adequação.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

8. ALINHAMENTO COM AS NECESSIDADES DE NEGÓCIO

8.1. A partir da análise dos modelos de contratação disponíveis e levando em consideração a evolução
tecnológica, o Secretaria de Saúde do Distrito Federal adquirirá a solução de Antivírus Corporativo or meio
de empresa que se responsabilize em fornecer os bens objetos deste instrumento, pois o Secretaria de
Saúde ganhará na economia de escala ao realizar a aquisição de maior vulto.
8.2. Cabe salientar que a compra pelo menor preço não significa a aquisição de produtos com baixa
qualidade, visto que a administração deverá definir especificações técnicas necessárias para o sucesso do
certame, sem restringir a competição.
8.3. A tabela abaixo descreve a justificativa para cada requisito de negócio especificado para esta
contratação.

PDTI
ITEM
AÇÕES ESTRATÉGICAS DEMANDANTE
A7 Equipar, modernizar e dar suporte à infraestrutura de CTINF
computadores e de rede nas unidades de saúde. FHB
Modernizar e ampliar a infraestrutura de TIC das unidades de CTINF
A11
saúde.
Implantar a Política de Segurança da Informação da SES- CTINF
A19
DF.
Definir e Implantar serviços de segurança da informação, incluindo CTINF
A20 o serviço continuado de Certificação Digital. SAIS
SUGEP
A23 Implantar solução para garantir a continuidade dos serviços de TIC. CTINF

9. TECNOLOGIA MÍNIMA EXIGIDA:

O fornecimento deve ser provido por meio da implantação de tecnologia que possua capacidade de
gerenciar de forma centralizada os clientes instalados nas estações de trabalho, servidores e mobile,
utilizando-se de licença de software com função de Antivírus, Anti-Spyware, Firewall, Controle de
Dispositivos, Controle de Aplicações, entre outras.

As licenças que serão ativadas nos servidores de gerência deverão ser flutuantes entre, no mínimo, dois
nós em balanceamento de carga e caso isso não seja possível, cada um dos componentes deve ser
licenciado para que as funcionalidades permaneçam ativas no caso de indisponibilidade de um dos nós.

A solução que suportará os serviços deve ainda ser implantada no Datacenter do Secretaria de Saúde do
Distrito Federal e ativadas 15.000 licenças. Ainda neste contexto neste contexto de gerência centralizada
a implantação dos serviços deve contemplar a desinstalação completa de quaisquer soluções similares
atualmente existentes nas estações de trabalho do Secretaria de Saúde do Distrito Federal

Em resumo os serviços devem ser entregues de modo a prover segurança na camada de usuário,
mitigando riscos capazes de impactar a produtividade dos colaboradores do Secretaria de Saúde do
Página 11 de 37
Distrito Federal e degradar o desempenho dos sistemas e redes corporativas, sendo que o conjunto dos
requisitos especificados podem ser atendidos por meio de outros equipamentos e softwares.

Assim, a solução com função de proteção de Endpoint que será implantada deve suportar aos seguintes
requisitos mínimos:

9.1. Possuir uma única console de gerenciamento para gestão e configurações do antivírus,
antispyware, firewall, detecção de intrusão, controle de dispositivos, controle de aplicações e
criptografia de discos.
9.2. A solução deverá ter a capacidade de remoção do atual antivírus instalado e ser capaz de instalar
de forma remota o agente do antivírus pela console de gerenciamento;
9.3. O produto deverá possuir no mínimo os seguintes módulos e funcionalidades:
9.3.1. Console de gerenciamento fornecendo funcionalidades de gestão e configurações de
políticas;
9.3.2. Módulos para estações físicas, notebooks e servidores;
9.3.3. Módulo para ambientes virtualizados, sendo criado especialmente para ambientes virtuais;
9.3.4. Módulo para dispositivos móveis no mínimo para tablets e smarthpones com sistema
operacional iOS e Android;
9.3.5. Utilizar o conceito de heurística para combate e ações contra possíveis malwares;
9.3.6. Oferecer tecnologia onde a solução explore vulnerabilidades de softwares instalados no
intuito de reduzir o risco de infecções (anti-exploit);
9.3.7. Oferecer tecnologia nativa no intuito de eliminar ameaças que sequestram dados, do tipo
ransomware;
9.3.8. Oferecer inventário de softwares;
9.3.9. Oferecer tecnologia onde a solução teste arquivos potencialmente perigosos em ambiente
isolado antes da execução do mesmo no ambiente de produção;
9.3.10. Oferecer proteção por base de assinaturas (vacinas).

9.4. CONSOLE DE GERENCIAMENTO


9.4.1. Instalação e configuração
9.4.1.1. Permitir instalação de console local (on-premise) com banco de dados local ou
instalação em nuvem (cloud) com banco de dados também em nuvem;
9.4.1.2. Para a opção de console local de ser fornecido como um appliance virtual ou
executável para instalação em servidores Windows. Deverá suportar no mínimo as seguintes
plataformas de virtualização:
9.4.1.2.1.1. VMWare vSphere;
9.4.1.2.1.2. Citrix XenServer; XenDesktop, VDI-in-a-Box;
9.4.1.2.1.3. Microsoft Hyper-V;
9.4.1.2.1.4. Red hat Enterprise Virtualization;
9.4.1.2.1.5. Kernel-based Virtual Machine ou KVM;
9.4.1.2.1.6. Oracle VM;
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.4.1.3. Deverá ser fornecido com base de dados embutida e proprietária ou com
possibilidade de utilização de banco de dados externo SQL ou Oracle;
9.4.1.4. Para instalação da console em nuvem (cloud), a nuvem deve ser privada e do mesmo
fabricante;
9.4.1.5. Permitir instalação remota via console WEB de gerenciamento para ambientes
virtuais VMWare ou Citrix;
9.4.1.6. O mecanismo de varredura deverá estar disponível para download separadamente;
9.4.1.7. A solução deverá permitir a inclusão de um modulo de balanceamento para casos em
que vários servidores tenham a mesma função (para alta disponibilidade, recuperação de
desastres, performance, dentre outras necessidades);
9.4.1.8. Deve ser totalmente em português.

9.4.2. Funcionalidades Gerais


9.4.2.1. Licenciamento flexível;
9.4.2.2. A console de gerenciamento deve incluir informações detalhadas sobre as estações e
servidores com no mínimo as seguintes informações:
9.4.2.2.1.1. Nome;
9.4.2.2.1.2. IP;
9.4.2.2.1.3. Sistema Operacional;
9.4.2.2.1.4. Política Aplicada;
9.4.2.3. A console de gerenciamento deverá incluir sessão de log com as seguintes
informações:
9.4.2.3.1.1. Login;
9.4.2.3.1.2. Edição;
9.4.2.3.1.3. Criação;
9.4.2.3.1.4. Log-out;
9.4.2.4. Arquitetura simples de atualização, com um simples clique deve ser possível atualizar
todas funções e serviços da solução;
9.4.2.5. Permitir que o administrador escolha qual o pacote será atualizado;
9.4.2.6. As notificações devem ser destacadas como item não lido e notificar o administrador
por e-mail;
9.4.2.7. No mínimo enviar notificações para as seguintes ocorrências:
9.4.2.7.1.1. Problemas com licenças;
9.4.2.7.1.2. Alertas de surto de vírus;
9.4.2.7.1.3. Máquinas desatualizadas;

Página 13 de 37
9.4.2.7.1.4. Eventos de antimalware.
9.4.2.8. Deverá prover o acesso via HTTPS;
9.4.2.9. Deverá permitir a importação de certificados digitais;
9.4.2.10. O gerenciamento e a comunicação com dispositivos móveis deve ser feito de forma
segura utilizando certificados digitais.

9.4.3. Monitoramento
9.4.3.1. Baseado em “portlets” configuráveis com no mínimo as seguintes especificações:
9.4.3.1.1.1. Nome;
9.4.3.1.1.2. Tipo de relatório;
9.4.3.1.1.3. Alvo do relatório;
9.4.3.2. Deverá disponibilizar “portlets” para gerência e monitoramento de qualquer tipo de
endpoint, máquinas físicas, virtuais e dispositivos móveis.

9.4.4. Inventário da Rede


9.4.4.1. Possuir no mínimo as integrações abaixo:
9.4.4.1.1.1. Múltiplos domínios do Active Directory;
9.4.4.1.1.2. Múltiplos VMWare vCenters;
9.4.4.1.1.3. Múltiplos Citrix Xen Servers;
9.4.4.2. Possuir a possibilidade de definição de sincronização com o Active Directory em
horas;
9.4.4.3. Deverá ser compatível com Microsoft Hyper-V, Red Hat VM, Oracle VM, KVM;
9.4.4.4. Descoberta de rede para máquinas em grupo de trabalho;
9.4.4.5. Possuir busca em tempo real pelo menos com os seguintes filtros:
9.4.4.5.1.1. Nome;
9.4.4.5.1.2. Sistema Operacional;
9.4.4.5.1.3. Endereço IP;
9.4.4.6. Possibilitar a instalação remota e desinstalação remota do antivírus;
9.4.4.7. Possibilitar a configuração de pacotes de instalação do produto de antivírus;
9.4.4.8. Possuir tarefas remotas e configuráveis de scan;
9.4.4.9. Possuir tarefa de reinicialização remota de estação ou servidor;
9.4.4.10. Assinar políticas para no mínimo os níveis:
9.4.4.10.1.1. Computador;
9.4.4.10.1.2. Máquina Virtual;
9.4.4.10.1.3. ou;
9.4.4.11. Possuir a propriedade detalhada de objetos gerenciados para:
9.4.4.11.1.1. Nome;
9.4.4.11.1.2. IP;
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.4.4.11.1.3. Sistema Operacional;
9.4.4.11.1.4. Grupo;
9.4.4.11.1.5. Política Assinada;
9.4.4.11.1.6. Ultimo status de malware.

9.4.5. Políticas
9.4.5.1. Modelo único para todos os equipamentos, sejam físicos ou virtuais;
9.4.5.2. Cada serviço de segurança deve ter seu modelo configurável de política com opções
específicas de ativar/desativar;
9.4.5.3. Através da console de gerenciamento o administrador poderá ser capaz de enviar
uma política única para configurar o antivírus;
9.4.5.4. Deverá configurar as funcionalidades como escaneamento do antivírus, firewall de
duas vias de detecção de intrusão, controle de acesso a rede, controle de aplicação, controle
de acesso web, criptografia (Windows, Mac e Android), localização de dispositivo (Mobile),
autenticação e ações para serem aplicadas em caso de vírus e dispositivos em não
conformidade.

9.4.6. Relatórios
9.4.6.1. Deverá apresentar as seguintes funcionalidades:
9.4.6.1.1.1. Relatório para cada serviço de segurança;
9.4.6.1.1.2. Facilidade de usar e visualização simplificada;
9.4.6.1.1.3. Agendamento, com opção de envio por e-mail para qualquer destinatário
conforme escolha do administrador;
9.4.6.1.1.4. Filtros de agendamento de relatórios;
9.4.6.1.1.5. Arquivo com todas as instâncias de relatório agendados;
9.4.6.1.1.6. Exportar o relatório nos formatos .pdf e/ou .csv;
9.4.6.1.1.7. Oferecer possibilidade de criar relatórios de maneira dinâmica no dashboard
da da console de gerenciamento.

9.4.7. Administração de Usuários


9.4.7.1. Deverá apresentas no mínimo as seguintes funcionalidades:
9.4.7.1.1.1. Administração baseada em regras;
9.4.7.1.1.2. Disponibilizar tipos de usuários pré-definidos como no mínimo:
9.4.7.1.1.3. Administrador – Gerente dos componentes da solução;
9.4.7.1.1.4. Administrador de rede - Gerente dos serviços de segurança;
9.4.7.1.1.5. Relatório – Monitora e cria relatórios;
Página 15 de 37
9.4.7.1.1.6. Deverá ser possível customizar um tipo de usuário:
9.4.7.1.1.7. Deverá permitir a integração de usuários com o Active Directory para
autenticação da console de gerenciamento;
9.4.7.1.1.8. Registrar as ações do usuário na console de gerenciamento;
9.4.7.1.1.9. Detalhar cada ação do usuário;
9.4.7.1.1.10. Permitir busca complexa baseada em ações do usuário, intervalos de tempo.

9.5. SEGURANÇA PARA ESTAÇÕES E SERVIDORES


9.5.1. Proteção para ambientes físicos
9.5.1.1. Deverá proteger em tempo real e agendado as máquinas físicas em qualquer
plataforma de sistema operacional, seja Windows, Linux ou Mac, tanto na console local (on-
premises) como na console em nuvem (cloud);
9.5.1.2. Deverá suportar no mínimo os seguintes sistemas operacionais para estação de
trabalho:
9.5.1.2.1.1. Windows 10 64Bits;
9.5.1.2.1.2. Windows 8.1 64Bits;
9.5.1.2.1.3. Windows 8 64Bits;
9.5.1.2.1.4. Windows 7 64Bits;
9.5.1.2.1.5. Windows XP (SP3) apenas o módulo de antivírus;
9.5.1.3. Deverá suportar no mínimo os seguintes sistemas operacionais para servidores:
9.5.1.3.1.1. Windows Server 2012R2;
9.5.1.3.1.2. Windows Server 2012;
9.5.1.3.1.3. Windows Server 2008 R2;
9.5.1.3.1.4. Windows Server 2008;
9.5.1.3.1.5. Windows Server 2003 R2 apenas o módulo de antivírus;
9.5.1.3.1.6. Windows Server 2003 com SP1 apenas o módulo de antivírus;
9.5.1.4. Deverá suportar no mínimo os seguintes sistemas operacionais para distribuição
Linux:
9.5.1.4.1.1. Red Hat Enterprise Linux;
9.5.1.4.1.2. Cent OS 5.6 ou superior;
9.5.1.4.1.3. Ubuntu 10.04 LTS ou superior;
9.5.1.4.1.4. SUSE Linux Enterprise Sever 11 ou superior;
9.5.1.4.1.5. OpenSUSE 11 ou superior;
9.5.1.4.1.6. Fedora 15 ou superior;
9.5.1.4.1.7. Debian 5.0 ou superior.

9.5.2. Proteção para ambientes virtuais


9.5.2.1. Para plataforma de virtualização com VMWare, deverá:
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.5.2.1.1.1. Ter a disponibilidade de ser integrado e oferecer a escaneamento sem
instalar o agente nas máquinas virtuais;
9.5.2.1.1.2. A console de gerenciamento central da solução deverá ter a possibilidade de
integrar com múltiplos vCenters da VMWare;
9.5.2.2. Deverá proteger em tempo real e agendado as máquinas virtuais em qualquer
plataforma de sistema operacional, seja Windows, Linux ou Mac, tanto na console local (on-
premises) como na console em nuvem (cloud);
9.5.2.3. O produto deverá oferecer agente para virtualização dos seguintes produtos:
9.5.2.3.1.1. Citrix Xen Server;
9.5.2.3.1.2. Microsoft Hyper-V;
9.5.2.3.1.3. Red Hat Virtualization;
9.5.2.3.1.4. Oracle KVM;
9.5.2.3.1.5. KVM.

9.5.3. Instalação e Configuração Remota


9.5.3.1. Deverá permitir ao administrador customizar a instalação;
9.5.3.2. Deverá permitir a instalação customizada do antivírus com no mínimo:
9.5.3.2.1.1. Instalar o antivírus sem o controle de acesso a internet; (Windows Desktop)
9.5.3.2.1.2. Instalar o antivírus sem o módulo de firewall;
(Windows Desktop)
9.5.3.3. A instalação deverá ser possível executar com no mínimo das seguintes maneiras:
9.5.3.3.1.1. Executar o pacote de antivírus diretamente na estação de trabalho;
9.5.3.3.1.2. Instalar remotamente, distribuído via console de gerencia web;
9.5.3.4. Deverá ser possível ter um relatório com as estações instaladas e as faltantes da
instalação;
9.5.3.5. Ter a capacidade de criar um único pacote independente ser for para 32 bits ou 64
bits;
9.5.3.6. Deverá permitir ao administrador criar grupos e subgrupos para mover as estações de
trabalho;
9.5.3.7. O agente utilizado na sincronização deve ser incluído no cliente do antivírus e não ser
necessário a distribuição em um agente separado.

9.5.4. Funções Gerais


9.5.4.1. Deverá ter métodos de detecção de vírus, spyware, rootkits e outros mecanismos de
segurança;
9.5.4.2. Deverá permitir a configuração do scan do antivírus do cliente como:
Página 17 de 37
9.5.4.2.1.1. Scan local;
9.5.4.2.1.2. Scan hibrido;
9.5.4.2.1.3. Scan central;
9.5.4.3. Deverá reportar o estado atual das máquinas virtuais no mínimo,
protegida/desprotegida;
9.5.4.4. Deverá fazer scan em tempo real e automático;
9.5.4.5. Deverá ser configurável para não escanear arquivos conforme necessidade do
administrador, ou seja, por tamanho ou por tipo de extensão;
9.5.4.6. Deverá possuir escaneamento baseado em análise heurística;
9.5.4.7. Deverá permitir a escolha e configuração de pastas a serem scaneadas;
9.5.4.8. Para melhor proteção, o antivírus deverá ter no mínimo 3 tipos de detecção:
9.5.4.8.1.1. Baseada em assinaturas;
9.5.4.8.1.2. Baseada em heurística;
9.5.4.8.1.3. Baseada em monitoramento contínuo de processos;
9.5.4.9. Deverá ter a capacidade de escaneamento nos protocolos HTTP e SSL nas estações de
trabalho;
9.5.4.10. O cliente do antivírus deverá ter o módulo de Antiphishing que deverá ter a opção
de verificar links pesquisados com os sites de pesquisas Search Advisor nas estações de
trabalho;
9.5.4.11. Deverá possuir módulo de firewall que de acordo com o administrador poderá ou
não ser instalado/desinstalado nas estações de trabalho;
9.5.4.12. No módulo de firewall deverá ser possível configurar o modo invisível tanto a nível
de rede local ou Internet nas estações de trabalho;
9.5.4.13. Deverá ter os seguintes requisitos mínimos de sistema:
9.5.4.13.1.1. Plataformas de Virtualização
9.5.4.13.1.2. VMware vSphere ESX 5.0 ou superior;
9.5.4.13.1.3. VMware vCenter Server 4.1 ou superior;
9.5.4.13.1.4. VMWare Tools 8.6.0 ;
9.5.4.13.1.5. Citrix XenDesktop 5.0 ou superior;
9.5.4.13.1.6. Xen Server 5.5 ou superior;
9.5.4.13.1.7. Citrix VDI-in-a-Box 5;
9.5.4.13.1.8. Microsoft Hyper-V Server 2008 R2, 2012
9.5.4.13.1.9. Oracle VM 3.0;
9.5.4.13.1.10. Red Hat Enterprise Virtualization 3.0.
9.5.4.13.1.11. Sistemas Operacionais para Desktops
9.5.4.13.1.12. Windows 8.1;
9.5.4.13.1.13. Windows 8;
9.5.4.13.1.14. Windows 7;
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.5.4.13.1.15. Windows XP (SP3) – pelo menos o módulo de antivírus.
9.5.4.13.1.16. Sistemas Operacionais para Servidores
9.5.4.13.1.17. Windows Server 2012 R2;
9.5.4.13.1.18. Windows Server 2012;
9.5.4.13.1.19. Windows Server 2008 R2;
9.5.4.13.1.20. Windows Server 2008;
9.5.4.13.1.21. Windows Server 2003 R2 - pelo menos o módulo de antivírus;
9.5.4.13.1.22. Windows Server 2003 com SP1 - pelo menos o módulo de antivírus;
9.5.4.13.1.23. Linux Red Hat Enterprise;
9.5.4.13.1.24. CentOS 5.6 ou superior;
9.5.4.13.1.25. Ubuntu 10.04 LTS ou superior;
9.5.4.13.1.26. SUSE Linux Enterprise Server 11 ou superior;
9.5.4.13.1.27. OpenSUSE 11 ou superior;
9.5.4.13.1.28. Fedora 15 ou superior;
9.5.4.13.1.29. Debian 5.0 ou superior.

9.5.5. Quarentena
9.5.5.1. Deverá permitir restauração remota, com configuração de localidade e deleção;
9.5.5.2. Criação e exclusão para arquivos restaurados;
9.5.5.3. Deverá permitir o envio automático de arquivos da quarentena para o laboratório de
vírus;
9.5.5.4. Deverá fazer a remoção automática de arquivos antigos, pré-definidos pelo
administrador;
9.5.5.5. Deverá permitir a movimentação do arquivo da quarentena para seu local original ou
outro destino que o administrador definir;
9.5.5.6. Deverá de forma automática criar exclusão para arquivos restaurados da quarentena;
9.5.5.7. Deverá permitir escanear a quarentena após a atualização de assinaturas.

9.5.6. Controle de Usuário


9.5.6.1. Deverá ter módulo de controle de usuário integrando com as seguintes
características:
9.5.6.1.1.1. Bloqueio de acesso a internet;
9.5.6.1.1.2. Bloqueio de acesso a aplicações definidas pelo administrador.

9.5.7. Controle do Dispositivo


Página 19 de 37
9.5.7.1. Deverá ser possível a instalação do módulo de controle de dispositivos através da
console de gerenciamento;
9.5.7.2. Através do módulo de controle de dispositivo deverá ser possível controlar:
9.5.7.2.1.1. Bluetooth;
9.5.7.2.1.2. CDROM/DVDROM;
9.5.7.2.1.3. IEEE 1284.4;
9.5.7.2.1.4. IEEE 1394;
9.5.7.2.1.5. Windows Portable;
9.5.7.2.1.6. Adaptadores de Rede;
9.5.7.2.1.7. Adaptadores de rede Wireless;
9.5.7.2.1.8. Discos Externos;
9.5.7.3. Deverá escanear em tempo real qualquer informação localizada em mídias de
armazenamento como:
9.5.7.3.1.1. CD/DVD;
9.5.7.3.1.2. Discos Externos;
9.5.7.3.1.3. Pen-Drivers;
9.5.7.4. Deverá permitir regras de definição de bloqueio/desbloqueio;
9.5.7.5. Deverá permitir regras de exclusão.

9.5.8. Criptografia
9.5.8.1. Deverá oferecer:
9.5.8.1.1.1. Possibilidade de criptografia de disco através da mesma console de
gerenciamento do antivírus, seja em nuvem (cloud) ou local (on-premise);
9.5.8.1.1.2. Deverá utilizar quando necessário serviços de criptografia sem agentes
nativos da estação de trabalho seja baseada em Windows ou Mac;
9.5.8.1.1.3. Deverá solicitar autenticação quando iniciado o sistema operacional do
equipamento;
9.5.8.1.1.4. Deverá ser compatível com Mac OS X Moutain, Mavericks, Yosemite, Sierra.

9.5.9. Atualização
9.5.9.1. Após a atualização o administrador deverá ter a capacidade de configurar uma
reinicialização;
9.5.9.2. Possibilidade de utilizar um servidor local para efetuar as atualizações das estações
de trabalho;
9.5.9.3. Permitir atualizações de assinatura de hora em hora;
9.5.9.4. Permitir motor de varredura local, no servidor de rede ou em nuvem afim de
aumentar o desempenho da estação de trabalho quando a mesma estiver sendo escaneada.

9.6. SEGURANÇA PARA DISPOSITIVOS MÓVEIS


9.6.1. Requisitos mínimos do Sistema Operacional
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.6.1.1. Android 2.2 ou superior

9.6.2. Recursos
9.6.2.1. Permitir atribuir dispositivo com usuário do Active Directory;
9.6.2.2. A ativação do dispositivo da console de gerenciamento deverá ser através de um QR
code;
9.6.2.3. Os pacotes de instalação devem estar disponíveis nas lojas dos Sistemas
Operacionais;
9.6.2.4. Deverá permitir no mínimo as seguintes ações:
9.6.2.4.1.1. Impor bloqueio de tela e autenticação;
9.6.2.4.1.2. Desbloquear o dispositivo;
9.6.2.4.1.3. Restaurar as configurações de fábrica;
9.6.2.4.1.4. Localizar o Dispositivo;
9.6.2.4.1.5. Análise de dispositivos para o Sistema Operacional Android;
9.6.2.4.1.6. Criptografia de memória do dispositivo para o Sistema Operacional Android.

9.6.3. Configurações de Segurança


9.6.3.1. Caso o dispositivo não esteja em conformidade com as políticas estabelecidas deverá
ser possível as ações abaixo:
9.6.3.1.1.1. Ignorar;
9.6.3.1.1.2. Bloquear acesso;
9.6.3.1.1.3. Bloquear o dispositivo;
9.6.3.1.1.4. Restaurar as configurações de fábrica;
9.6.3.1.1.5. Remover o dispositivo da console de gerenciamento;
9.6.3.2. Deverá permitir o uso de senha. A senha pode ser configurada conforme necessidade
do administrador com no mínimo os seguintes recursos:
9.6.3.2.1.1. Senha simples ou complexa;
9.6.3.2.1.2. Números e caracteres;
9.6.3.2.1.3. Comprimento mínimo;
9.6.3.2.1.4. Caracteres especiais mínimos;
9.6.3.2.1.5. Período de expiração da senha;
9.6.3.2.1.6. Definir restrição de reutilização de senha;
9.6.3.2.1.7. Definir o número de tentativas de entradas de senha incorretas;
9.6.3.2.1.8. Período de bloqueio do dispositivo.

Página 21 de 37
9.7. SEGURANÇA DE E-MAILS
9.7.1.1. Fornecer proteção de antispam para ambiente com instalação local (on-premise) do
MS Exchange;
9.7.1.2. Oferecer análise comportamental e proteção para zero-day;
9.7.1.3. Oferecer proteção contra vírus e tentativas de phishing.

1. ESPECIFICAÇÕES DOS SERVIÇOS - ITEM 02

9.7.2. Da Qualificação Técnica


9.7.2.1. A empresa deverá apresentar Atestado de Capacidade Técnica fornecido por pessoa
jurídica de direito público ou privado, declarando ter fornecido bens, compatível com o objeto
deste Termo de Referência;
9.7.2.2. Todos os atestados ou declarações exigidas deverão ser apresentados em original ou
cópia autenticada por cartório competente, assinadas por pessoa responsável com indicação de
nome e cargo exercido na empresa; No caso de comprovação por mais de um atestado, os
atestados somados ou não, deverão cobrir o quantitativo mínimo de 20% (vinte por cento) do
objeto do Termo de Referência ou similar; Para os itens nos quais o percentual requerido
apresente fração, considerar-se-á o número inteiro imediatamente superior;
9.7.2.3. Não será aceito pela CONTRATANTE atestado ou declaração emitido pela própria licitante,
sob pena de infringência ao princípio da moralidade, pois a licitante não possui a impessoalidade
necessária para atestar sua própria capacitação técnica.

9.7.3. Do Treinamento
9.7.3.1. A capacitação deverá ser fornecida a no mínimo 08 (oito) colaboradores da área de
tecnologia da CONTRATANTE;
9.7.3.2. A capacitação deverá consistir em treinamento oficial em acordo com as políticas do
fabricante da solução fornecida;
9.7.3.3. Deverá ser ministrado por instrutor certificado na solução e deverá fornecer, para todos
os participantes, material didático oficial impresso ou eletrônico e em português;
9.7.3.4. O treinamento deverá ser realizado presencialmente, em infraestrutura disponibilizada
pela CONTRATANTE e deverá possuir carga horária mínima de 8 (oito) horas;
9.7.3.5. Após a realização da capacitação, a empresa deverá fornecer certificado de conclusão
para cada participante;
9.7.3.6. O treinamento deverá ser realizado no prazo máximo até 30 (trinta) dias corridos, após a
assinatura do contrato.

9.7.4. Da Implantação
9.7.4.1. Entende-se como fase em que se dará a instalação e configuração dos produtos, ou seja,
efetiva implementação do projeto especificado;
9.7.4.2. A instalação e testes dos produtos devem estar inclusos no custo do produto;
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
9.7.4.3. A implementação deverá ser realizada de tal forma que as interrupções no ambiente de
produção sejam as mínimas possíveis e estritamente necessárias, e, ainda, não causem
transtornos aos usuários finais do órgão;
9.7.4.4. A CONTRATADA deverá executar uma série de testes funcionais básicos para verificar o
perfeito funcionamento do ambiente. Estes testes deverão ser realizados nos componentes de
hardware e software envolvidos no projeto;
9.7.4.5. Durante a execução dos serviços, pelo menos um representante do CONTRATANTE
participará e fará composição na equipe designada para as atividades.

9.7.5. Da Manutenção Preventiva e Corretiva


9.7.5.1. A CONTRATADA deverá fazer manutenção preventiva e corretiva da solução no ambiente
de TIC da CONTRATANTE, no mínimo, a cada 6 (seis) meses;
9.7.5.2. A CONTRATADA deverá analisar a console de gerenciamento da solução, com revisão
periódica das políticas aplicadas, objetivando aderência as boas práticas recomendadas pelo
fabricante, respeitando-se especificidades do ambiente de TIC. As alterações da política serão
aplicadas após devida aprovação da equipe técnica da CONTRATANTE;
9.7.5.3. A periodicidade da manutenção preventiva e corretiva poderá ser alterada pela
CONTRATANTE após anuência da CONTRATADA;
9.7.5.4. A cada manutenção preventiva e corretiva, a CONTRATADA deverá entregar relatório com
as atividades executadas, bem como o status operacional dos Endpoints no ambiente da
CONTRATADA, com dados quantitativos (números de Endpoints agrupados por versão do
software) e qualitativos (nível de aderência a política e as boas práticas recomendadas), no prazo
máximo de 30 (trinta) dias, a contar do início da manutenção preventiva e corretiva;
9.7.5.5. O atendimento para execução da manutenção preventiva e corretiva da solução, deverá
ser realizado remotamente ou presencialmente nas dependências físicas da CONTRATANTE em
dia e horário agenda em comum acordo entre as partes.

9.7.6. Da Garantia e Suporte Técnico


9.7.6.1. O prazo de garantia das licenças da solução ofertada deverá ser de, no mínimo, 36 (trinta
e seis) meses, contados a partir da data do aceite definitivo;
9.7.6.2. A CONTRATADA deverá fornecer Central de Serviços para abertura de chamados técnicos
em horário contínuo, 24x7, de segunda a domingo com SLA para início de atendimento em até 12
horas após abertura do chamado;
9.7.6.3. A Central de Serviços deverá ser acionada por meio de ligação telefônica, por e-mail ou
por sistema de Service Desk disponível pela Internet, para abertura dos chamados;
9.7.6.4. Os chamados deverão ser atendidos via acesso remoto utilizando-se de softwares ou
atendimento via telefone. Caso seja necessário e definido pela CONTRATANTE, o atendimento
deverá ser fornecido presencialmente na modalidade on-site;
9.7.6.5. Para a prestação dos serviços de suporte remoto, deverão ser utilizados os protocolos
HTTP e HTTPS da Internet, SSH ou VPN;
Página 23 de 37
9.7.6.6. A CONTRATADA, sendo fabricante ou não da solução ofertada, deverá disponibilizar um
telefone de suporte técnico no Brasil e em Língua Portuguesa para que a CONTRATANTE obtenha
suporte telefônico diretamente do fabricante se necessário, tantas e quantas vezes desejar
durante a vigência das licenças.

10. RECURSOS NECESSÁRIOS PARA A CONTRATAÇÃO

10.1. RECURSOS ESTRUTURAIS E LÓGICOS (AMBIENTE)

Recursos Estruturais e Lógicos para sustentar a contratação


Quantidade Ação para obtenção do
Recurso Disponibilidade Responsável
Necessária recurso
Ambiente de Climatizado e 1
energizado para instalação dos Integral Existe ambiente CONTRATANTE
equipamentos (UMA)

10.2. RECURSOS MATERIAIS

Não se aplica

10.3. RECURSOS HUMANOS

Recursos Humanos Necessários para sustentar a contratação


Função Formação/Atribuições
Servidor com capacidade gerencial, técnica e operacional relacionada ao processo de
Gestor do Contrato gestão do contrato, indicado pela SECRETARIA DE SAÚDE DO DISTRITO FEDERAL ou
autoridade equivalente.

Fiscal Técnico Servidor da Área de Tecnologia da Informação, indicado pela autoridade máxima dessa
área.

Fiscal Administrativo Servidor da área administrativa, indicado pela autoridade máxima dessa área.

Fiscal Requisitante Servidor da Área Requisitante da Solução, indicado pela autoridade máxima dessa área.

Preposto da CONTRATADA Interlocutor da CONTRATADA com o SECRETARIA DE SAÚDE DO DISTRITO FEDERAL.

Profissional da
CONTRATADA responsável Especialista da CONTRATADA que será responsável pela instalação, configuração e testes
pela instalação e da ferramenta nos ambientes do CONTRATANTE.
configuração do produto

Especialista da CONTRATADA que será responsável pela realização dos treinamentos


Instrutor da CONTRATADA
previstos em contrato.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

11. SEGURANÇA DA INFORMAÇÃO

11.1. A CONTRATADA deverá preencher termo de sigilo e responsabilidade, na assinatura do contrato, no


intuito de proteger a matriz de dados do CONTRATANTE bem como sua infraestrutura de recursos
computacionais.
11.2. É obrigação da CONTRATADA, informar imediatamente ao CONTRATANTE, qualquer
vulnerabilidade de segurança que a ferramenta apresente, ou que venha a apresentar durante o ciclo de
vida do contrato.
11.3. É obrigação da CONTRATADA, em comum acordo e aceite da CONTRATANTE, a aplicação de patches
corretivos de segurança, tão logo estejam disponíveis pela fabricante da solução.

12. ESTRATÉGIA DE CONTINUIDADE CONTRATUAL

12.1. TRANSFERÊNCIA DE CONHECIMENTO E DE TECNOLOGIA

12.1.1. A CONTRATADA deverá repassar à equipe técnica do CONTRATANTE todo o


conhecimento necessário para utilizar e manter as soluções e produtos desenvolvidos e
implantados.

12.2. DIREITO DE PROPRIEDADE INTELECTUAL E DIREITOS AUTORAIS

12.2.1. Em relação ao direito de propriedade intelectual, entende-se que todas as soluções,


produtos, componentes e outros elementos desenvolvidos pela CONTRATADA, assim como sua
documentação e demais artefatos, deverão ser entregues ao CONTRATANTE, que terá o direito
de propriedade irrestrito sobre eles, sendo vedada qualquer comercialização por parte da
CONTRATADA.
12.2.2. A CONTRATADA deverá se comprometer a manter sigilo bem como a cumprir as normas
de segurança do CONTRATANTE, principalmente da Política de Segurança da Informação.
12.2.3. Salienta-se que a utilização de componentes de propriedade da CONTRATADA ou de
terceiros na construção de quaisquer artefatos que possam afetar a propriedade do produto
deve ser formal e previamente autorizada pelo CONTRATANTE. Caso ocorra, a CONTRATADA
deverá fornecer esses componentes sem quaisquer ônus adicionais ao CONTRATANTE.

12.3. GARANTIA DO SERVIÇO

12.3.1. O item 1 terá garantia de 36 (meses) meses a partir da data de assinatura do contrato.
12.3.2. O item 2 terá garantia de 12 meses contados do recebimento definitivo e pagos
mensalmente respeitando os acordos de nível de serviço estabelecidos no termo de referência.
12.3.3. Durante o período acima mencionado, qualquer defeito, erro ou falha deverá ser
reparado sem ônus para o CONTRATANTE. Essa garantia deverá incluir todos os produtos e
serviços relacionados aos itens.
Página 25 de 37
12.3.4. Durante o período de garantia, todas as despesas com a equipe necessária para o
atendimento das demandas serão custeadas pela CONTRATADA.
12.3.5. A não resolução dos defeitos nos prazos estabelecidos neste instrumento ensejará
aplicação de sanções que deverão estar previstas no Termo de Referência.

13. ESTRATÉGIA DE INDEPENDÊNCIA

13.1. A SECRETARIA DE SAÚDE DO DISTRITO FEDERAL tem a necessidade de definir uma Estratégia de
Independência. Neste contexto, com objetivo de adequar-se às políticas públicas do GDF, passou a exigir
em suas contratações a elaboração de uma Estratégia de Independência fundamentada nas boas práticas
tais como: ITIL, COBIT, PMBOK, ISO27001, além da Instrução Normativa nº 4/14, do MPOG.
13.2. Dessa forma, a CONTRATADA deverá documentar todos os processos e atividades pertinentes
durante a execução do contrato. Essa prática garantirá ao SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
continuidade do negócio em caso de interrupção do contrato.

14. TRANSIÇÃO E ENCERRAMENTO CONTRATUAL

14.1. No período de 6 (seis) meses antes do término do contrato, o órgão CONTRATANTE realizará uma
análise a respeito da vantajosidade de sua renovação da garantia dos itens.
14.2. Após o término do contrato, a CONTRATADA deverá retirar qualquer bem de que seja proprietária
e que, eventualmente, esteja no espaço do CONTRATANTE.
14.3. Após o término do contrato, o CONTRATANTE deverá cancelar os acessos a sistemas de informação
e às localidades que tenham sido disponibilizadas à CONTRATADA.
14.4. Qualquer pendência deverá ser resolvida entre as partes antes da data de conclusão do contrato.

15. CONTINUIDADE EM CASO DE INTERRUPÇÃO CONTRATUAL

Prevenção Contingência
Evento
Ação Responsável Ação Responsável

Distrato por parte do Acompanhamento da Fiscais e Gestor Realizar nova


Gestor Contrato
prestador de serviço execução contratual do contrato contratação

Equipe de
Descumprimento Fiscais e Gestor do
Previsão de Multa Planejamento da Aplicação de multa
das fases de serviço Contrato
Contratação

16. VIABILIDADE DA CONTRATAÇÃO

16.1. O presente planejamento foi elaborado em harmonia com a Instrução Normativa nº 4/2014 –
Secretaria de Tecnologia da Informação do Ministério do Planejamento, Desenvolvimento e Gestão
(SETIC/MP), bem como em conformidade com os requisitos técnicos necessários ao cumprimento das
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
necessidades e objeto da aquisição. O presente planejamento está em conformidade com os requisitos
administrativos necessários ao cumprimento do objeto e está de acordo com as necessidades técnicas,
operacionais e estratégicas do órgão.
16.2. No mais, atende adequadamente às demandas de negócio formuladas, os benefícios pretendidos
são adequados, os custos previstos são compatíveis e caracterizam a economicidade, os riscos envolvidos
são administráveis e a área requisitante priorizará o fornecimento de todos os elementos aqui
relacionados necessários à consecução dos benefícios pretendidos, pelo que recomendamos a aquisição
proposta.
16.3. Nos termos do § 1º do Art. 12 da IN 04/2014 SLTI/MP, o presente Estudo Técnico Preliminar é
aprovado e assinado pelos Integrantes Requisitante e Técnico da Equipe de Planejamento da
Contratação.

17. ASSINATURAS

17.1. Integrante Técnico


A presente ETP foi elaborada em harmonia com a Instrução Normativa nº 04/2014 – Secretaria de
Recursos Logísticos e Tecnologia da Informação do Ministério do Planejamento Orçamento e Gestão,
bem como em conformidade com os requisitos técnicos necessários ao cumprimento das necessidades
e objeto da Aquisição.

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxx
Integrante Técnico

17.2. Responsável da Área Técnica


A presente ETP está de acordo com as necessidades técnicas, operacionais e estratégicas da
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL do METRO-DF. Commented [I8]: Remover

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxxxxx
Responsável pela Área de Tecnologia da Informação

Página 27 de 37
17.3. Integrantes Administrativos
A presente ETP está em conformidade com os requisitos administrativos necessários ao cumprimento
do objeto.

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxx
Integrante Administrativo

17.4. Integrantes Requisitantes


A presente ETP atende adequadamente às demandas de negócio formuladas, os benefícios pretendidos
são adequados e a área requisitante priorizará o fornecimento de todos os elementos aqui relacionados
necessários à consecução dos benefícios pretendidos, pelo que recomendamos a aquisição proposta:

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxx
Integrante Requisitante

17.5. Aprovação da Área Requisitante


A presente ETP atende adequadamente às demandas de negócio formuladas e a área requisitante
priorizará o fornecimento de todos os elementos aqui relacionados necessários à consecução dos
benefícios pretendidos, pelo que recomendamos a aquisição proposta.

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxxxxxxx
Autoridade Competente da Área Requisitante
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

ANÁLISE DE RISCO - AR

Página 29 de 37
1. INTRODUÇÃO

1.1. A Análise de Riscos, conforme Art. 13 da IN 04/2014, permite identificar os riscos que possam
comprometer o sucesso da contratação e da gestão contratual, e os riscos de a Solução não alcançar os
resultados que atendam às necessidades do CONTRATANTE.
1.2. Para cada risco identificado, devem ser relacionados os potenciais danos que a ocorrência do evento
relacionado ao risco pode provocar, bem como sua probabilidade e as ações de prevenção e contingência
e seus respectivos responsáveis.
1.3. Reserva de contingência: Será considerado como reserva de contingência o percentual de 25% do
valor do contrato originário deste instrumento conforme determinação legal para aditivo contratual.
1.4. Frequência de avaliação dos riscos: Os riscos identificados no projeto devem ser avaliados sempre
que necessário durante a vigência contratual ou período de garantia dos equipamentos, pelo Fiscal do
Contrato, que oficializará a Assessoria de Tratamento da Informação e a CONTRATADA para que sejam
tomadas as medidas cabíveis.

2. ESTRATÉGIA DE GERENCIAMENTO DE RISCOS

2.1. O Gestor do contrato deve manter uma planilha para gerenciamento com os principais riscos de
impactos negativos que porventura forem identificados no decorrer do contrato. A identificação de
oportunidades (riscos positivos) não é mandatória, mas pode ser incluída para os casos em que o gestor
do contrato considere relevantes para ser tratadas formalmente. O Gestor pode decidir pelo
agrupamento de riscos similares se considerar que seu tratamento será equivalente, de modo a
simplificar o processo.
2.2. Análise dos Riscos: a Análise Quantitativa é de difícil mensuração e não se justifica para este processo
de aquisição. A Análise Qualitativa será feita categorizando-se a Probabilidade e a gravidade dos riscos
em ALTA, MÉDIA ou BAIXA, e atribuindo-se valores para estas: ALTA (3), MÉDIA (2) ou BAIXA (1). A
exposição aos riscos equivalerá à prioridade de tratamento desses, e será calculada multiplicando-se os
valores de probabilidade e gravidade para cada risco. Quanto maior o valor deste produto, maior a
exposição e por consequência a prioridade para tratamento do risco.
2.2.1. Exemplo: Probabilidade MÉDIA x Gravidade ALTA = 2 x 3 = 6.

2.3. Planejamento das Respostas aos Riscos: salvo quando mencionado explicitamente, o gestor do
contrato é o responsável pelo tratamento, resposta e acompanhamento de todos os riscos. As respostas
serão categorizadas de acordo com lista abaixo, e uma ação correspondente deve ser detalhada e
acompanhada até que a exposição ao risco não seja mais significativa ou o processo de suporte seja
encerrado.
2.4. Tipos de respostas ao risco:
2.4.1. EVITAR: eliminar a possibilidade do risco se materializar, ou neutralizar as suas
consequências.
2.4.2. MITIGAR: diminuir a possibilidade do risco se materializar, ou minimizar as suas
consequências.
2.4.3. TRANSFERIR: transferir as consequências negativas e a responsabilidade pelo tratamento do
risco a um terceiro.
2.4.4. ACEITAR: assumir as consequências da realização do risco.
2.5. Monitoramento e Controle: Revisão e atualização dos riscos, respostas, ações e resultados, devem
ser feitas pelo gestor do contrato, com frequência mensal (mínima) ou sempre que um evento importante
ocorrer ou um novo risco relevante for identificado. Notificação ao chefe da ATI e interação com a equipe
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL
interna de TI do SECRETARIA DE SAÚDE DO DISTRITO FEDERAL deve ser feita sempre que for considerado
necessário.

Página 31 de 37
3. TABELA DE TRATAMENTO DE RISCO

MATRIZ DE TRATAMENTO DOS RISCOS

Fase Risco Probabilidade Gravidade Consequência Resposta Prevenção Contingência Responsável


Solução não atende em
Contratar solução que não Identificar as soluções disponíveis de mercado e
sua completude os Realizar nova Equipe do Planejamento da
Contratação atenda aos requisitos de Baixa Alta Evitar realizar provas de conceito e/ou encontros
requisitos de negócio contratação. Contratação e Gestor do Contrato
negócio do Contratante técnicos para elucidação de eventuais dúvidas
especificados
Disponibilizar
imediatamente
servidores da ATI para
Atraso na publicação do
reuniões de
edital devido a Antecipar potenciais problemas com as áreas de Equipe do Planejamento da
Atraso na publicação do esclarecimentos e
Contratação questionamentos das áreas Média Alta Mitigar licitações e jurídica, discutindo-os antes mesmo Contratação e
edital alinhamento de
de licitações e jurídica do da conclusão do planejamento da contratação. SECRETARIA DE SAÚDE
entendimentos com a
órgão
área administrativa e
jurídica do SECRETARIA
DE SAÚDE.
Revisar documentação técnica, jurídica e
contratual antes de publicar o edital.
Não realização da
Realizar consulta pública para minimizar os Realizar ajustes,
licitação.
questionamentos, revisar questões polêmicas e realizar nova consulta Equipe do Planejamento da
Contratação Licitação impugnada Baixa Alta Evitar
avaliar sugestões de melhorias. pública, publicar novo Contratação
Não contratação da
edital.
solução.
Justificar tecnicamente e financeiramente a
escolha da solução, caso a contratação seja
nomeada.
Não realização da Realizar ajustes,
licitação. Identificar os possíveis fornecedores durante a realizar nova consulta Equipe do Planejamento da
Contratação Licitação deserta Baixa Alta Mitigar
Não contratação da etapa de cotação de preços. pública, publicar novo Contratação
solução. edital.
Inexecução total ou Estabelecer níveis de serviço vinculados à
Cancelar o processo de
parcial do contrato. deduções pecuniárias a partir de indicadores de
contratação;
qualidade e desempenho de produtos e
Contratação com preço Corrigir erros de
Entrega de produtos com serviços. Equipe do Planejamento da
Contratação muito inferior à média do Média Alta Mitigar especificação técnica
baixa qualidade. Definir qualitativa e quantitativamente as Contratação
mercado no Planejamento da
sanções aplicáveis ao contrato.
Contratação;
Perda de credibilidade da Definir processo de trabalho, incluindo a relação
ATI do CONTRATANTE de produtos e serviços a serem entregues para
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

MATRIZ DE TRATAMENTO DOS RISCOS

Fase Risco Probabilidade Gravidade Consequência Resposta Prevenção Contingência Responsável


frente a sua área cada item contratual, que garanta a qualidade Reiniciar o processo de
requisitante. dos produtos e serviços. contratação.

Baixa capacidade de
Realizar ajustes,
Contratação de fornecedor fornecer a solução. Incluir critérios de qualificação técnica no
realizar nova consulta Equipe de Planejamento da
Contratação com baixa qualificação Média Alta Evitar Planejamento da Contratação que objetivem a
pública, publicar novo Contratação
técnica Fornecer a solução com contratação de empresas capacitadas.
edital.
baixa qualidade.
Definir requisitos da ferramenta com base nas
Cancelar pregão,
Contratar ferramenta que necessidades de negócio da área requisitante.
Inexecução total ou realizar ajustes, realizar Equipe de Planejamento da
Contratação não atenda aos requisitos Média Alta Evitar
parcial do contrato. nova consulta pública, Contratação, TI e ADM
de negócio do órgão Realizar pesquisa de mercado para avaliar
publicar novo edital.
aderência das soluções candidatas.
Previsão de inclusão no TR de sanções por
atraso não justificado por parte da empresa Equipe de Planejamento da
Execução Atraso na liberação da Atraso na implantação da
Baixa Média Mitigar contratada. Aplicar sanção Contratação e
Contratual licença do software solução
Gestor do Contrato
Vincular o pagamento a implantação da solução.
Sobrecarga da equipe
técnica na fiscalização e
Aumento de carga
Execução gestão devido a existência Separar a contratação em lotes distintos de Equipe de Planejamento da
Baixa Média administrativa para Evitar Contratar lote único
Contratual de vários contratos acordo com a especificidade da solução. Contratação
integrantes da CGTI
originados desta
contratação

Descontinuidade de
Execução Cancelamento ou não fornecimento dos Elaboração de plano de contingência e de Realizar nova Equipe de Planejamento da
Baixa Média Mitigar
Contratual renovação do contrato serviços pela Contratada continuidade. contratação Contratação e Gestor do Contrato

Indisponibilidade da
Solicitar com antecedência a infraestrutura de TI
Execução infraestrutura no órgão Atraso na implantação da
Média Alta Mitigar os recursos necessários à implantação da Solicitar à SEPLAG Gestor do Contrato
Contratual para implantação da solução
solução.
solução

Página 33 de 37
MATRIZ DE TRATAMENTO DOS RISCOS

Fase Risco Probabilidade Gravidade Consequência Resposta Prevenção Contingência Responsável

Pagamento de serviços
Prever em edital que o pagamento deverá ser
Execução sem a correspondente Ressarcimento de erário Fiscais requisitantes, técnico e
Baixa Alta Evitar vinculado à efetiva entrega do produto Aplicar sanção
Contratual contraprestação do serviço ao Contratante Gestor do Contrato
solicitado pela área requisitante.

Exigir a estimativa de
novo prazo e coletar a
aprovação das áreas
Descumprimento dos
Tentar dividir grandes entregas em menores e envolvidas.
Execução prazos estipulados no Atraso na entrega da Fiscal Técnico e
Média Média Mitigar parciais.
Contratual Planejamento da solução. Gestor do Contrato
Aplicar deduções
Contratação
relativas a Níveis
Mínimos de Serviço
Exigidos (NMSEs).
Capacitar servidores da TI no domínio da
arquitetura de gerenciamento e
Cancelamento ou não Descontinuidade do
Encerramento desenvolvimento da solução. Efetuar nova licitação
renovação do contrato – Baixa Alta suporte à solução. Mitigar Gestor do Contrato e CGTI
Contratual de suporte à solução.
ITEM 2, 3 e 4
Prever em edital fornecimento de licenças
perpétuas da solução.
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

4. ASSINATURAS

4.1. Integrantes Requisitantes


A presente AR atende adequadamente às demandas de negócio formuladas, os benefícios
pretendidos são adequados e a área requisitante priorizará o fornecimento de todos os
elementos aqui relacionados necessários à consecução dos benefícios pretendidos, pelo
que recomendamos a aquisição proposta:

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxx
Integrante Requisitante

4.2. Integrante Técnico


A presente AR foi elaborada em harmonia com a Instrução Normativa nº 04/2014 –
Secretaria de Recursos Logísticos e Tecnologia da Informação do Ministério do
Planejamento Orçamento e Gestão, bem como em conformidade com os requisitos
técnicos necessários ao cumprimento das necessidades e objeto da Aquisição.

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxxxxxxxxxxxx
Integrante Técnico

4.3. Integrantes Administrativos


A presente AR está em conformidade com os requisitos administrativos necessários ao
cumprimento do objeto.

Brasília-DF, de 20_____.

xxxxxxxxxxxxxxxxxxxxxxxx
Integrante Administrativo

Página 35 de 37
ANEXOS
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL

ANEXO I – ANÁLISE DE CUSTO DA SOLUÇÃO

Contratação de empresa para o fornecimento de 15.000 (quinze mil) licenças de solução


centralizada de Antivírus Corporativo com garantia de atualização contínua, serviços de
treinamento, implantação, manutenção preventiva e suporte técnico especializado 24x7,
pelo período de 36 (trinta e seis) meses segurança e proteção do ambiente de TIC da
SECRETARIA DE SAÚDE DO DISTRITO FEDERAL.

CONSELHO
ASSEMBLEIA SECRETARIA DE
FEDERAL DE PROCURADORIA VALOR
UNIDADE LEGISLATIVA ESTADO DE MEDIANA MÉDIA
ITEM DESCRIÇÃO QUANT FLS. MEDICINA GERAL DE JUSTIÇA UNIT TOTAL ESTIMADO
DE MEDIDA DO ESTADO DO PLANEJAMENTO E FINAL FINAL
VETERINARIA - DO ESTADO DE RR ESTIMADO
CEARÁ GESTÃO - DF
DF
Licença de R$ R$ R$
1 UNIDADE 15000 R$ 118,80 R$ 94,82 R$ 90,86 R$ 1.362.900,00
Antivírus 54,99 100,00 89,64 R$ 90,86

R$ 1.362.900,00
Commented [I9]: Atualizar conforme alterações ocorridas no
*Em conformidade com os Decretos n° 36.220/2014 e 36.519/2015, a estimativa do preço máximo foi elaborada por meio de ampla pesquisa de preços públicos item 5. do ETP
em atas vigentes e licitações similares obtidos nos Sistemas de Compras Governamentais, bem como em propostas de mercado fornecidas por empresas do ramo
e pesquisas em sítios eletrônicos.
*Metodologia utilizada para fins de cálculo de valores discrepantes: Mediana.

Página 37 de 37