SEI/MPPI - 0375224 - Termo de Referência

FORNECIMENTO DE SOLUÇÃO TECNOLÓGICA DE SEGURANÇA CORPORATIVA NA MODALIDADE SAAS, BASEADA EM COLETA E INTEGRAÇÃO DE DADOS, COM ÊNFASE NO MONITORAMENTO DE INFRAESTRUTURA DO MPPI, INCLUINDO SISTEMA DE ANÁLISE OUT IN DE SEGURANÇA 24X7X365 PARA APLICAÇÕES WEB, SERVIÇOS DE COLETA DE INFORMAÇÕES RELEVANTES FORA DO ESCOPO, DETECÇÃO DE ATAQUES E VARREDURAS, IDENTIFICAÇÃO DE FALHAS DE SEGURANÇA OU DE ATIVOS INFORMACIONAIS COMPROMETIDOS, BUSCANDO MINIMIZAR VULNERABILIDADES

A crescente tentativa de ataque aos ativos do MPPI demanda uma solução de monitoramento persistente 24h por dia, 7 dias por semana, através de ferramenta de alta capacidade de análise preventiva de ameaças cibernéticas. Considerando a necessidade de garantir a alta disponibilidade dos serviços providos pela CTI, necessário um monitoramento além do que já utilizamos, que são os tradicionais Firewalls, que desempenham seu papel de defesa de perímetro com muita eficiência.

Porém alguns serviços necessitam de passagem pelos Firewalls - serviços estes indispensáveis para manutenção de serviços do MPPI e para atender a sociedade. Atacantes persistentes são capazes de identificar os mecanismos de defesa atualmente implantados. Com isso, mimetizam o comportamento de usuários legítimos, sendo capazes de burlar as regras de defesa. As altas taxas de incidentes cibernéticos e vazamentos de dados em todo o mundo apontam para a necessidade de complementar as defesas tradicionais com ferramentas que produzam inteligência de alto nível, sob a perspectiva de tais atacantes. Assim, a ferramenta que pretendemos contratar se apresenta como um importante complemento: trata-se de plataforma que observa os aspectos de segurança além do escopo interno do MPPI, produz conhecimentos sobre atores maliciosos no ambiente digital e simula a maneira como estes enxergam as redes do MPPI. Segundo o Gabinete de Segurança Institucional da Presidência da República (GSI/PR), órgão responsável pela segurança das redes de comunicação do governo federal, em 2019, 2020 e 2021 houveram muitos casos de invasão e tentativas de invasão aos terminais de computação da administração pública federal. Ou seja, observam-se a necessidade de vigilância permanente e de proteção atualizada, especialmente nos órgãos estaduais e municipais.

3.1.SERVIÇOS DE FORNECIMENTO DE DIREITO DE USO EM SAAS DE SOLUÇÃO TECNOLÓGICA DE SEGURANÇA COORPORATIVA

3.1.1 Serviços de Solução de Coleta e Processamento de Dados por 12 meses:

3.1.1.1. Abranger 100% do escopo do MPPI, incluindo ativos de rede, terminais, servidores, aplicações web e demais serviços disponibilizados ao público e aos servidores da instituição;

3.1.1.2. Possibilitar a persistência em tempo real dos dados coletados em base de dados consultável;

3.1.1.3. Disponibilizar o histórico de eventos relacionados a cada consulta, de modo a correlacionar as ocorrências sob a dimensão temporal;

3.1.1.4. Não empregar técnicas de prospecção invasiva contra o escopo do MPPI;

3.1.1.5. Buscar, ativamente, dados que possam ter sido obtidos pela manipulação de ativos do MPPI ou por ataques direcionados aos usuários de suas redes de informática, ainda que tais dados se encontrem fora do escopo ou não estejam indexados em mecanismos de busca (dados em bases de dados pertencentes a terceiros, com segurança frágil, ou na deep / dark web, a título de ilustração);

3.1.1.6. Viabilizar o desenvolvimento de ontologia que permita pesquisas nos canais monitorados além de buscas literais de palavras-chave, de modo a explorar semanticamente todas as possibilidades que as fontes de dados ofereçam;

3.1.1.7.3. aplicações web (página inicial, páginas secundárias, subdomínios, páginas em subdiretórios e demais conte do de texto);

3.1.1.7.5. ontologia de busca de dados que colete informações, nos mais diversos canais, sobre riscos cibernéticos aos quais autoridades e servidores do MPPI possam estar expostos.

3.1.1.8. Notificar o MPPI sobre incidentes relevantes dentro de prazo razoável, especialmente acerca dos incidentes relacionados abaixo, tendo-se como prazo máximo os respectivos intervalos:

3.1.1.8.4. dados coletados pelos honeypots referentes ao escopo do MPPI: 1 hora;

3.1.1.8.5. vulnerabilidades inerentes às redes de comunicação do MPPI: 24 horas;

3.1.1.8.6. menções ao escopo do MPPI por atores maliciosos nos canais monitorados: 1 hora;

3.1.1.9. Garantir a confidencialidade, a disponibilidade e a integridade dos dados coletados, por meio da implementação, na ferramenta, de:

3.1.1.9.2. mecanismos de firewall e sistemas de detecção e prevenção de invasões (IDS/IPS);

3.1.1.9.4. disponibilização de duplo fator de autenticação para os usuários.

3.1.1.10. Normalizar, armazenar e correlacionar os dados de diferentes fontes e formatos, por meio de funcionalidades analíticas de grande volume de dados (big data);

3.1.1.11. Permitir consultas em estruturas de pesquisa dinâmicas e complexas, por meio da aplicação de filtros para a manipulação dos dados coletados;

3.1.1.12. Assinalar as informações mais relevantes para o contexto analisado, por meio da aplicação de técnicas de mineração de dados (data mining);

3.1.1.13. Apresentar os resultados de consultas nas estruturas de pesquisa estatísticas e dinâmicas em uma interface integrada de forma gráfica, clara e acessível;

3.1.1.16. Possibilitar a realização de buscas de interesse do MPPI com base em diferentes critérios (domínios, ISP, AS, aplicações, IOCs, nomes de servidores ou de pessoas expostas politicamente, e-mails, potenciais atores de ataques cibernéticos, etc);

3.1.1.17. Permitir o correlacionamento de buscas, de modo a conferir dinamismo na análise e visão global dos cenários, pela possibilidade de informação, à ferramenta, de múltiplos fatores de busca (domínios, ISP, AS, IP, fontes do dado…);

3.1.1.18. Possibilitar a customização da ferramenta para eventual expansão das coletas para escopo além do MPPI, incluindo riscos inerentes a outras organizações que, porventura, manipulem dados sensíveis pertinentes ao MPPI;

3.1.1.19. Manter base de dados atualizada e consultável sobre as principais ameaças cibernéticas, riscos, vulnerabilidades, hackers individuais e grupos que possam ameaçar as redes de informática e aplicações mantidas e/ou disponibilizadas pelo MPPI;

3.1.1.20. Disponibilizar interface web acessível de qualquer sistema operacional;

3.1.1.21. Viabilizar a elaboração de dashboards customizáveis e atualizáveis conforme os eventos coletados;

3.1.1.22. Exibir as informações coletadas sob filtros temporais, quantitativos e qualitativos;
3.1.1.23. Emitir notificações automáticas por e-mail e por aplicativo de mensageria para os incidentes coletados;

3.1.1.24. Possuir interface para exportação de dados nos formatos XML, CSV e JSON, de modo a permitir a integração com outras bases de dados;

3.1.1.25. Permitir buscas textuais com base em filtro de texto completo ou de expressões regulares;

3.1.1.26. Permitir buscas textuais com base em filtro na origem do dado, no tipo ou categoria de incidente, e em lapso temporal delimitado;

3.1.1.27. Combinar múltiplos filtros sucessivos que devem contemplar todos os campos dos registros;

3.1.1.28. Permitir a elaboração de gráficos de diversos tipos que respondam dinamicamente combinação de múltiplos filtros, simultâneos ou sucessivos, e que sejam exportados junto com os dados brutos selecionados;

3.1.1.29. Preservar a confidencialidade dos dados armazenados e manipulados, bem como sua disponibilidade e integridade no sistema;

3.1.2. Serviços Técnicos Especializados em Segurança da Informação por Demanda:

3.1.2.1. Serviços de testes de riscos e vulnerabilidades referentes a aplicações mantidas pelo MPPI (pen-testing);

3.1.2.2. Serviços de Relatório de Incidentes, com descrição de possíveis soluções;

3.1.2.3. Implantação de Segurança com foco e correção de vulnerabilidades de Segurança quando demanda.

3.1.3.1. Fornecimento para de Serviços de Instrutoria e Treinamento para Servidores da área de tecnologia e segurança do MPPI;

3.1.3.2. Serviços de Capacitação de Servidores com atualização tecnológica de práticas e soluções de previsão a vulnerabilidades de segurança no âmbito da internet.

4.1.Ampliação da consciência situacional: coleta de inteligência em múltiplas fontes, sob diferentes metodologias, visando a responder, de forma difusa, como se enxergam as redes do MPPI de fora para dentro. Ou seja, como os hackers veem as redes e quais métodos poderiam empregar para atacá-las.

Este nível de coletas deve abranger buscas sobre fenômenos que tenham relevância para a segurança cibernética do MPPI, realizadas com base em:

4.1.1. sites de notícias, blogs e serviços especializados na notificação de incidentes cibernéticos em geral;

4.1.2. serviços de compartilhamento de códigos (no mínimo, GitHub e GitHub Gist);

4.1.3. serviços de publicação de conteúdo (no mínimo, PasteBin e Ghostbin);

4.1.6. aplicativos de mensageria (no mínimo, grupos públicos de Telegram, Whatsapp, Rocketchat e Mattermost);

4.1.7. internet profunda – deep / dark web – com ênfase em mercados negros de vendas de dados e fóruns nos quais possa haver ameaças direcionadas ao MPPI;

4.1.8. fóruns reconhecidamente utilizados pela comunidade hacker, em servi os como IRC (internet relay chat) e Discordapp;

4.1.10. monitoramento ativo e ininterrupto de potenciais ações de desfiguração de sítio dentro do escopo, com funções de análise do código-fonte estático da página, identificação de palavras nas imagens do sítio e uso de mecanismos de OCR (Optical Character Recognition);

4.1.11. endereços “.onion” (deep web), que podem ser definidos pelo MPPI ou assinalados pela contratada devido à relevância para a segurança digital da instituição.

4.2. Juntamente com os resultados das coletas, a ferramenta contratada deverá fornecer condições à equipe de segurança cibernética do MPPI para completa investigação dos eventos relevantes assinalados, por meio da persistência, na base, ao menos dos seguintes dados:

4.2.4. código fonte da página assinalada, nos casos de Desfiguração de Sítios e de Exposição de Dados, de modo que, se a postagem original vier a ser removida pelo seu autor ou por terceiros, o conteúdo do registro se mantenha acessível;

4.2.5. domínios e URL mencionadas (incluídas credenciais de acesso com base em endereços de correio eletrônico) que estiverem associadas ao escopo de incidência da coleta;

4.2.6. imagens anexadas ao texto da postagem em qualquer um dos canais monitorados;

4.3.De forma dirigida, quais os eventuais problemas de segurança inerentes às aplicações web disponibilizadas pelo MPPI. Neste nível, espera-se que a solução seja capaz de alertar, em tempo real, de forma sistemática e automatizada, no mínimo sobre as vulnerabilidades inerentes as aplicações catalogadas pelo “Open Web Application Security Project (OWASP) Top Ten”, quais sejam:

4.3.5. controle de acesso / compartimentação de dados indevidas ou inexistentes;

4.3.6. falhas de configuração de aspectos de segurança (no mínimo: versões de protocolos, implantação de criptografia, mensagens de erro contendo informações sensíveis);

4.4.De forma estruturada, quais dados do MPPI podem ser encontrados em bases de dados mantidas por terceiros e/ou em serviços de segurança da informação capazes de detectar falhas de segurança. Neste cenário, buscam-se informações de qualidade que possam apontar para a existência de:

4.4.2. detecção, por ferramentas de varredura de malware fora do escopo, de ataques direcionados ao MPPI;

4.4.3. detecção de ataques, varreduras e distribuição de spam oriundos do escopo do MPPI (existência de botnets);

4.4.4. download e compartilhamento não-autorizado de conteúdo ilícito (pirataria e pornografia infantil, por exemplo);

4.4.5. divulgação de vulnerabilidades nas plataformas de bug bounty: Open Bug Bounty e BugHeist;

4.4.6. compartilhamento de desfigurações nos portais: Zone-H, Defacer ID e Mirror-H;

4.4.7. detecção de campanhas de phishing direcionadas a usuários das redes de informática do MPPI ou que empreguem elementos visuais com o objetivo de confundir tais usuários.

4.4.8. Os registros obtidos em sede de coleta estruturada devem manter a persistência dos seguintes dados:

4.4.8.2. finalidade do domínio no contexto coletado (distribuição, comando e controle, redirecionamento para atividade maliciosa ou outra classificação plausível);

4.4.8.4. entidade alvo da atividade maliciosa, no caso de phishing (a página ou serviço de quem se pretendia simular);

4.4.8.7. características da máquina atacada (sistema operacional, servidor web e a forma de ataque declarada);

4.4.8.8. evidência do ocorrido, no caso de incidentes de desfiguração, consubstanciada na forma de screenshot e de obtenção do código HTML da página afetada;

4.5.Por simulação das redes (honeypots), que tipos de ataques e varreduras são direcionados ao escopo do MPPI. Neste aspecto, é importante que os servidores (“pots”) apresentem considerável variação geográfica, de modo a detectar rapidamente atividades oriundas ou direcionadas a qualquer lugar do mundo, que tenham relevância para o MPPI. Assim, demanda-se que haja ao menos 6 servidores honeypot, distribuídos geograficamente da seguinte forma:

4.6.Ademais, esta categoria de coleta deve ter a capacidade de identificar e armazenar, sempre que disponíveis, informações sobre:

4.6.4. payload de resposta obtido por meio da requisição formulada como teste da vulnerabilidade notória ou ponto de exploração;

4.7.Por análise de vulnerabilidades, quais os potenciais caminhos de exploração das redes de informática e dos ativos informacionais do MPPI. Esta categoria deverá contemplar, no mínimo, as seguintes situações:

4.7.1. serviços dos protocolos RDP, FTP, VNC e Telnet cujo acesso possa ocorrer remotamente e permita ao atacante acesso à área administrativa do servidor alvo em função de acesso sem a autenticação do usuário ou com autenticação anônima;

4.7.2. servidores dos protocolos DNS e NTP suscetíveis a amplificação de ataques de negação de serviço, transferência de zona ou configurados de forma a resolver domínios maliciosamente, conduzindo o usuário a páginas falsas;

4.7.3. bancos de dados ou storages PostgreSQL, MySQL, SQLServer, Oracle, Elastic Search, MongoDB, Iomega cujo acesso possa ocorrer remotamente sem a presença de autenticação ou que permitam ataque de força bruta para o acesso indevido;

4.7.4. certificados SSL expirados ou inválidos e sistemas que n o utilizem HTTPS;

4.7.5. Sistemas suscetíveis, no mínimo, aos ataques Heartbleed, Freak, Poodle, Beast e Logjam;

4.7.6. serviços FTP, NETBIOS, SMB, SSH e VPN cuja configuração equivocada possa permitir o mapeamento de ativos em redes não públicas e identificação de serviços acessíveis remotamente;

4.7.7. equipamentos e artefatos classificados como Internet das Coisas (Internet of Things – IoT) acesséveis remotamente por meio da internet.

4.8.Esta categoria deverá ter a capacidade de identificar e armazenar, sempre que disponíveis, as seguintes informações:

4.8.1. vulnerabilidade conhecida, a respectiva CVE, CWE e exploit disponével para exploração;

4.8.3. endereço IP e porta associada à vulnerabilidade ou ponto de exploração;

4.8.5. geolocalização do endereço IP onde a URL da ocorrência está hospedada;

4.8.7. payload de resposta obtido por meio da requisição formulada como teste de vulnerabilidade notória ou ponto de exploração;

4.8.8. resposta dos protocolos de criptografia aceitos pelo servidor objeto do teste;

4.8.9. cálculo da severidade da vulnerabilidade, conforme taxonomia desenvolvida pelo “National Institute of Standards and Technology” (NIST/EUA), conhecida como “The Common Vulnerability Scoring System” (CVSS).

4.9.Antecipação de ataques: prevenção, detecção, obstrução e neutralização de ataques por meio da produção periódica de relatórios de inteligência, sob perspectivas tática e estratégica, que forneçam equipe de tecnologia da informação do MPPI subsídios necessários para evitar vazamentos de dados ou a indisponibilização de serviços. No nível tático, espera-se que a plataforma seja capaz de monitorar e produzir inteligência sobre atores maliciosos que tenham realizado ataques contra o MPPI no passado ou que mencionem, no âmbito da coleta difusa de informações, o MPPI. Os dados devem objetivar produzir inteligência sobre as táticas, técnicas e procedimentos empregados por tais indivíduos. Ademais, a ferramenta deverá fornecer informações consultáveis sobre os principais atores maliciosos já identificados em atuação contra o escopo do MPPI ou de outros órgãos públicos brasileiros. Entre outros aspectos, espera-se que se permitam consultas sobre:

4.9.1. perfis de atores maliciosos em redes sociais, fóruns e canais dos quais participem;

4.9.2. dados referentes às táticas, técnicas e procedimentos adotados por tais indivíduos;

4.9.3. relação permanentemente atualizada de ataques promovidos por esses atores; linhas temporais que permitam o estudo da cronologia dos ataques;

4.10. No nível estratégico, a ferramenta deve ser capaz de contemplar os ativos informacionais da instituição de forma integral, correlacionar eventos, permitir buscas e dashboards personalizados, para facilitar a interpretação dos dados.

4.11. Prover Segurança da Informação: prover segurança a nível das aplicações web, análise de vulnerabilidades, detecção de vazamentos de dados, de varreduras e de ataques.

4.12. Prover Capacidade de Resposta e Investigação de Incidentes: viabilizar a detecção antecipada ou, alternativamente, a mitigação de incidentes cibernéticos por meio de atuação em múltiplos níveis, especialmente colaborando com as ações investigativas que visem a determinar autoria e metodologia empregada em ataques cibernéticos.

4.13. Proteger Dados Pessoais: muitos vazamentos de dados de servidores do MPPI ou de cidadãos que utilizam serviços do Ministério Público do Estado do Piauí ocorrem fora do escopo da MPPI, por meio de ataques direcionados, por exemplo, a terminais de uso pessoal. Por isso, é preciso buscar de forma ativa e identificar eventuais vazamentos de dados, sobretudo de credenciais de acesso aos serviços do MPPI, em fontes indexadas ou não indexadas (incluindo deep / dark web), com o fim de evitar a exploração de tais credenciais por atacantes que simulam o comportamento de usuários legítimos.

5.1.1. Acompanhar e fiscalizar a execução do contrato, através de comissão ou servidor especialmente designado (Fiscais do Contrato), verificando minuciosamente, no prazo fixado, a conformidade dos bens recebidos provisoriamente com as especificações constantes no Edital e na proposta, para fins de aceitação e recebimento definitivo.

5.1.2. Notificar por escrito a Contratada toda e qualquer imperfeição, falha e/ou irregularidade verificada no objeto fornecido, para que seja substituído, reparado e/ou corrigido.

5.1.3. Exigir a qualquer tempo da Contratada os documentos que comprovem o correto e tempestivo pagamento de todos os encargos previdenciários, trabalhistas, fiscais e comerciais decorrentes da execução deste Contrato, bem como todas as qualificações que ensejarem sua habilitação.

5.1.4. Designar representantes para gestão e fiscalização do contrato dos termos do art. 67 da Lei Federal n. 8.666/93.

5.1.5. Receber o objeto do contrato através do setor responsável por seu acompanhamento ou fiscalização, em conformidade com o art. 73 da Lei Federal n. 8.666/93.

5.1.6. O pagamento será efetuado pelo MPPI no prazo máximo de 30 (trinta) dias, contados da apresentação da NF/Fatura.

5.1.7. A Administração não responderá por quaisquer compromissos assumidos pela Contratada com terceiros, ainda que vinculados à execução do Contrato, bem como por qualquer dano causado a terceiros em decorrência de ação e/ou omissão da Contratada, de seus empregados, prepostos e/ou subordinados.

A Contratada deve cumprir todas as obrigações constantes no Edital e seus anos, assim como em sua proposta, assumindo exclusivamente os riscos e as despesas decorrentes da perfeita execução contratual e, ainda:

5.2.1. Executar o objeto em perfeitas condições, conforme especificações, prazo e local constantes no Termo de Referência e seus anexos.

5.2.2. Substituir, reparar e/ou corrigir, às suas expensas, no prazo fixado neste Termo de Referência, qualquer falha detectada na execução dos serviços.

5.2.3. Comunicar à Contratante, no prazo mínimo de 05 (cinco) dias corridos que antecede a data de entrega dos serviços, os motivos que impossibilitem o cumprimento do prazo previsto, coma devida comprovação.

5.2.4. Manter durante toda a execução do Contrato, em compatibilidade com as obrigações assumidas, todas as condições de habilitação e de qualificação exigidas na licitação.

5.2.5. Indicar preposto para representá-la durante a execução do contrato, fornecendo o nome completo, telefone e e-mail do indicado.

5.2.6. Sujeitar-se a mais ampla e irrestrita fiscalização por parte da Contratante, prestando todos os esclarecimentos necessários, atendendo as reclamações formuladas e cumprindo todas as orientações, visando fiel cumprimento do contrato.

5.2.7. Responsabilizar-se pelo cumprimento das obrigações previstas em Acordo, Convenção, Dissídio Coletivo ou equivalentes das categorias abrangidas pelo contrato, por todas as obrigações trabalhistas, sociais, previdenciárias, tributárias e as demais previstas em legislação específica, cuja inadimplência não transfere a responsabilidade à Contratante.

5.2.8. Comunicar ao Gestor do Contrato, no prazo de até 24 (vinte e quatro) horas, qualquer ocorrência anormal ou acidente que se verifique no local dos serviços.

5.2.9. Prestar todo esclarecimento ou informação solicitada pela Contratante ou por seus representantes, bem como acesso aos documentos relativos à execução dos serviços.

5.2.10. Paralisar, por determinação da Contratante, qualquer atividade que não esteja sendo executada de acordo com a boa técnica ou que ponham em risco a segurança de pessoas e bens da Contratante e/ou de terceiros.

5.2.11. Promover a guarda, manutenção e vigilância de materiais, ferramentas, e tudo o que for necessário à execução dos serviços, durante a vigência do contrato.

5.2.12. Promover a organização técnica e administrativa dos serviços, de modo a conduzi-los eficaz e eficientemente, de acordo com os documentos e especificações que integram este Termo de Referência, no prazo determinado.

5.2.13. Conduzir os trabalhos com estrita observância às normas da legislação pertinente, cumprindo as determinações dos Poderes Públicos, mantendo sempre limpo o local dos serviços e nas melhores condições de segurança, higiene e disciplina.

5.2.14. Não permitir a utilização de qualquer trabalho do menor de dezesseis anos, exceto na condição de aprendiz para os maiores de quatorze anos; nem permitir a utilização do trabalho do menor de dezoito anos em trabalho noturno, perigoso ou insalubre.

5.2.15. Cumprir, durante todo o período de execução do contrato, a reserva de cargos prevista em lei para pessoa com deficiência ou para reabilitado da Previdência Social, bem como as regras de acessibilidade previstas na legislação, quando a contratada houver se beneficiado da preferência estabelecida pela Lei n 13.146, de 2015.

5.2.16. Guardar sigilo sobre todas as informações obtidas em decorrência do cumprimento do contrato;

5.2.17. Cumprir, além dos postulados legais vigentes de âmbito federal, estadual ou municipal, as normas de segurança da Contratante.

5.2.18. Prestar os serviços dentro dos par metros e rotinas estabelecidos, fornecendo todos os materiais, equipamentos e utensílios em quantidade, qualidade e tecnologia adequadas, com a observância às recomendações aceitas pela boa técnica, normas e legislação.

5.2.19. Não transferir a outrem, no todo ou em parte, a execução do contrato, sem prévia e expressa anuência da Contratante.

A subcontratação depende de autorização prévia da Contratante, a quem incumbe avaliar se a subcontratada cumpre os requisitos de qualificação técnica necessários para a execução do objeto.

5.2.20. Em qualquer hipótese de subcontratação, permanece a responsabilidade integral da Contratada pela perfeita execução contratual, cabendo-lhe realizar a supervisão e coordenação das atividades da subcontratada, bem como responder perante a Contratante pelo rigoroso cumprimento das obrigações contratuais correspondentes ao objeto da subcontratação.

5.2.21.Não é permitida a subcontratação para a parcela principal e/ou significativa do objeto.

A implantação da solução deverá ocorrer com participação direta dos técnicos da MPPI que atuarão na solução.

A vigência do Contrato será de 12 (doze) meses, a partir de sua publicação no Diário Oficial do MPPI;

Os serviços deverão ser executados nos locais, dias e horas determinadas pela Contratante na Ordem de Serviço.

O prazo para prestação dos serviços será de até 15 (quinze) dias corridos, contados a partir da data de recebimento da Ordem de Serviço pela Contratada.

As especificações da prestação dos serviços constam no Anexo I e deve ser fielmente observada pela Contratada.

A Contratada deverá fornecer documentação completa da solução, incluindo especificação do equipamento, características, funcionalidades, comentários e configurações executadas.

O processo de implantação deverá ser devidamente documentado pela CONTRATADA, que deverá apresentar relatório com o detalhamento do processo realizado ao final da implantação como requisito para o aceite definitivo.

A instalação/configuração deverá ser realizada de tal forma que as interrupções no ambiente de produção da MPPI sejam as mínimas possíveis e estritamente necessárias.

6.2.1. A Contratada assumirá a responsabilidade pelo funcionamento dos serviços da solução contratada.

6.3.1. Independente dos sistemas de acompanhamento e supervisão exercidos diretamente pela Contratada para cumprir os níveis de atendimento dos serviços contratados, o MPPI, na forma dos artigos 67 e 73 da Lei nº 8.666/93, e do artigo 6º do Decreto nº 2.271/97, por meio da Coordenação de Tecnologia da Informação e da Coordenação de Licitação e Contratos do MPPI, exercerá supervisão e acompanhamento da execução do contrato e dos serviços prestados, utilizando servidores especialmente designados para este fim, sendo eles: GESTOR e FISCAIS DO CONTRATO (Técnico, Administrativo e Requisitante), os quais obedecerão, dentre outros elementos de legislação, disposições relativas ao Gerenciamento de Contrato contidas na Resolução CNMP nº 102/2013 de 23 de setembro de 2013, que trata do processo de contratação de serviços de Tecnologia da Informação no âmbito do Ministério Público Brasileiro.

6.3.1.1. Os representantes do MPPI deverão ter a experiência necessária para o acompanhamento e controle da execução dos serviços e do contrato.

6.3.1.2. As funções de Gestor, Fiscal Requisitante e Fiscal Técnico poderão ser exercidas de forma cumulativa por um ou dois servidores do MPPI.

6.3.2. As áreas do MPPI que demandarem serviços designarão um servidor que exercerá a função de Fiscal Técnico, o qual se responsabilizará pela emissão e gerenciamento das Ordens de Serviços, bem como pelo atesto da execução pelo MPPI e pela emissão do Termo de Recebimento Provisório dos serviços demandados.

6.3.2.1. A verificação da adequação da prestação do serviço deverá ser realizada com base nos critérios previstos no Termo de Referência,.

6.3.2.2. O Gestor do Contrato anotará em registro próprio todas as ocorrências relacionadas com a execução do contrato, indicando dia, mês e ano, bem como o nome dos empregados eventualmente envolvidos, adotando as providências necessárias ao fiel cumprimento das cláusulas contratuais e comunicando a autoridade competente, quando for o caso, conforme o disposto nos §§ 1º e 2º do artigo 67 da Lei nº 8.666, de 1993.

6.3.2.3. Entre as diversas funções de acompanhamento e supervisão a serem exercidas pelo MPPI, destacam-se: avaliação da qualidade dos serviços realizados e a homologação técnica das entregas realizadas.

6.3.2.4. O Gestor comunicará, por escrito, as deficiências porventura verificadas na prestação, para imediata correção, sem prejuízo das sanções e glosas cabíveis.

6.3.2.5. A Fiscalização deverá recusar qualquer serviço executado fora das condições contratuais ou da boa qualidade de serviços de TI, definida pelas melhores práticas de mercado.

6.3.2.6. O Gestor do contrato, ao verificar que houve inadequação na estimativa do volume de serviços prestados, deverá comunicar à autoridade responsável para que esta promova a adequação contratual aos volumes efetivamente demandados, respeitando-se os limites de alteração dos valores contratuais previstos no § 1º do artigo 65 da Lei nº 8.666, de 1993.

6.3.2.7. A ação ou omissão total ou parcial da fiscalização do MPPI, não eximirá a Contratada de responsabilidade na execução do contrato.

6.4.1. A fiscalização do cumprimento das obrigações trabalhistas e previdenciárias da Contratada, deverá seguir o disposto no Anexo IV (Guia de Fiscalização dos Contratos de Terceirização) da Instrução Normativa nº 02, de 30 de abril de 2008, da Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão, no que couber, sem prejuízo de outras medidas que o órgão julgar necessárias, de acordo com a especificidade do objeto e do local.

6.4.2.1. O relacionamento do MPPI com a Contratada deverá acontecer através de um Preposto, que será o principal canal de comunicação com o MPPI para tratar de assuntos relacionados com qualquer um dos serviços descritos neste Termo de Referência.

6.4.2.2. Os serviços de Gestão de Problemas e Gestão de Configuração e Mudanças serão reportados ao Fiscal Técnico do Contrato.

6.4.2.3. Todos os custos relacionados aos recursos humanos listados acima e procedimentos de gestão dos serviços, incluindo salários, benefícios, sistemas, materiais, treinamentos e capacitações, deverão estar contemplados no valor dos serviços.

6.4.2.4. Caso sejam necessárias reuniões técnicas, a Contratada deverá arcar com as despesas de deslocamento de sua equipe.

6.5.1.1. A indisponibilidade de serviço será reportada por intermédio de abertura de chamado para suporte técnico que poderá ser através de ligação telefônica gratuita (0800) no idioma português, website ou e-mail.

6.5.1.1.2. Durante as sessões remotas a CONTRATADA deverá utilizar ferramenta própria para acesso remoto seguro ao ambiente do MPPI, possibilitando a gravação da sessão e possibilitando o acesso simultâneo de todos os envolvidos na solução do chamado, seguindo todas as diretrizes de segurança pré-estabelecidas.

6.5.1.1.3. O suporte técnico deverá ser acionado em caso de qualquer situação prevista neste termo de referência, devendo haver o atendimento (remoto ou telefônico), conforme os índices de criticidade abaixo:

Método de Avaliação: Durante a vigência do contrato, o Fiscal Técnico do MPPI poderá acessar a plataforma de suporte e atualizações da Contratada para constatar o histórico de chamados realizados.

Método de Avaliação: Durante todo o período de vigência do contrato, os serviços executados pela Contratada deverão obedecer aos fatores de padronização, qualidade, desempenho, compatibilidade, capacidade de suporte aos serviços e prazos de entrega relativos aos serviços objeto de contratação deste certame e de acordo com os níveis de serviços adiante descritos.

6.11.1.2. Deverá ser garantido ao MPPI pleno acesso ao site do FABRICANTE, além de acesso irrestrito a console de gerenciamento da solução de firewall, devendo ser possível delegar a função de abertura de chamados com o FABRICANTE para a CONTRATADA, assim como delegar os acessos necessários para a execução dos serviços de suporte diretamente pela equipe da CONTRATADA.

6.7.1. Níveis de serviço são critérios objetivos e mensuráveis, estabelecidos para aferir e avaliar fatores relacionados com os serviços contratados, como: qualidade, desempenho, disponibilidade, custos, abrangência/cobertura e segurança, valendo-se de indicadores pertinentes a sua natureza e características, e estabelecendo-se metas quantificáveis a serem cumpridas pela Contratada.

6.7.2. Para definição dos indicadores de avaliação e respectivas metas foram consideradas a natureza e as características de cada serviço, e adotadas unidades de medida, tais como: percentuais; tempo, em horas, minutos ou segundos; números que expressem quantidades físicas; dias úteis e dias corridos.

6.7.3. A frequência de aferição e avaliação dos níveis de serviço será mensal.

6.7.4. O conteúdo detalhado e a forma do relatório gerencial serão definidos pelas partes.

6.7.5. Deverão constar do relatório, entre outras informações, os indicadores/metas de níveis de serviço alcançados, recomendações técnicas, administrativas e gerenciais para o próximo período e demais informações relevantes para a gestão contratual.

6.7.6. No curso do contrato as metas definidas podem, motivadamente, serem flexibilizadas, por acordo das partes, visando à adaptação a eventuais mudanças de cenário do MPPI.

6.7.16. A qualquer tempo, no decorrer da vigência do contrato, os indicadores e respectivas metas de qualidade de serviços poderão ser revistos, com anuência das partes, mediante evidências de sua impropriedade;

6.7.17. As alterações aos níveis de serviço que forem aprovadas, de comum acordo, deverão ser documentadas e formalizadas por meio de Termo Aditivo ao contrato.

6.8.2. O pagamento será efetuado pelo MPPI no prazo máximo de 30 (trinta) dias, contados da apresentação da NF/Fatura.

6.8.3. O pagamento somente será autorizado depois de efetuado o “atesto” pelo servidor competente na Nota Fiscal apresentada.

6.8.4. Havendo erro na apresentação da Nota Fiscal ou dos documentos pertinentes à contratação, ou, ainda, circunstância que impeça a liquidação da despesa, como, por exemplo, obrigação financeira pendente, decorrente de penalidade imposta ou inadimplência, o pagamento ficará sobrestado até que a Contratada providencie as medidas saneadoras. Nesta hipótese, o prazo para pagamento iniciar-se-á após a comprovação da regularização da situação, não acarretando qualquer ônus para o MPPI.

6.8.5. Será considerada data do pagamento o dia em que constar como emitida a ordem bancária para pagamento.

6.8.6. Antes de cada pagamento à contratada, será realizada consulta ao SICAF para verificar a manutenção das condições de habilitação exigidas no edital.

6.8.7. Constatando-se, junto ao SICAF, a situação de irregularidade da contratada, será providenciada sua advertência, por escrito, para que, no prazo de 05 (cinco) dias, regularize sua situação ou, no mesmo prazo, apresente sua defesa. O prazo poderá ser prorrogado uma vez, por igual período, a critério do MPPI.

6.8.8. Não havendo regularização ou sendo a defesa considerada improcedente, o MPPI deverá comunicar aos órgãos responsáveis pela fiscalização da regularidade fiscal quanto à inadimplência da CONTRATADA, bem como quanto à existência de pagamento a ser efetuado, para que sejam acionados os meios pertinentes e necessários para garantir o recebimento de seus créditos.

6.8.9. Persistindo a irregularidade, o MPPI deverá adotar as medidas necessárias à rescisão contratual nos autos do processo administrativo correspondente, assegurada à contratada a ampla defesa.

6.8.10. Havendo a efetiva execução do objeto, os pagamentos serão realizados normalmente, até que se decida pela rescisão do contrato, caso a contratada não regularize sua situação junto ao SICAF.

6.8.3.8. Somente por motivo de economicidade, segurança nacional ou outro interesse público de alta relevância, devidamente justificado, em qualquer caso, pela máxima autoridade do MPPI, não será rescindido o contrato em execução com a contratada inadimplente no SICAF.

6.8.12. Quando do pagamento, será efetuada a retenção tributária prevista na legislação aplicável.

6.8.12.1. A CONTRATADA regularmente optante pelo Simples Nacional, nos termos da Lei Complementar nº 123, de 2006, não sofrerá a retenção tributária quanto aos impostos e contribuições abrangidos por aquele regime. No entanto, o pagamento ficará condicionado à apresentação de comprovação, por meio de documento oficial, de que faz jus ao tratamento tributário favorecido previsto na referida Lei Complementar.

6.9.1. Será exigida a prestação de garantia pela Adjudicatária, como condição para a celebração do contrato, no percentual de 3% (três por cento) do valor total do contrato, nos termos do art. 56 e seus parágrafos, da Lei nº 8.666/93, optando-se por uma das seguintes modalidades:

6.9.2. No caso de caução em dinheiro, o depósito deverá ser efetuado em agência da Caixa Econômica Federal, mediante depósito identificado a crédito da Procuradoria Geral de Justiça do Piauí.

6.9.3. Cabe à Administração verificar a idoneidade da garantia, o que se fará com base em elementos objetivos.

6.9.4. Caso a opção seja por utilizar título da dívida pública, estes devem ter sido emitidos sob a forma escritural, mediante registro em sistema centralizado de liquidação e de custódia autorizado pelo Banco Central do Brasil e avaliados pelos seus valores econômicos, conforme definido pelo Ministério da Fazenda.

6.9.5. A garantia, se prestada na forma de fiança bancária ou seguro-garantia, deverá ter validade durante a vigência do contrato.

6.9.6. No caso de garantia na modalidade de fiança bancária, deverá constar expressa renúncia do fiador aos benefícios do art. 827 do Código Civil.

6.9.7. No caso de alteração do valor do contrato a garantia deverá ser readequada nas mesmas condições deste.

6.9.8. A garantia oferecida deverá permanecer íntegra ao longo de toda execução do contrato. Caso seja utilizada para caucionar os interesses do MPPI, a Contratada deverá reapresentá-la em, no máximo, 2 (dois) dias úteis, nos exatos termos inicialmente pactuados.

6.9.9. Fica vedado à Contratada pactuar com terceiros, cláusulas de não ressarcimento ou não liberação do valor dado em garantia de multas por descumprimento pactual.

6.10.1.2. Uma vez comprovados todos os requisitos da contratação e início da cobertura dos serviços, bem como liberado o acesso a estrutura de suporte da CONTRATADA, o MPPI emitirá por meio de termo de aceite o atesto do recebimento e início da cobertura dos serviços.

6.10.1. O Contrato terá vigência de 12 (doze) meses, a contar da data de assinatura, sendo que a cada 12 (doze) meses serão avaliadas a necessidade e a qualidade dos serviços.

6.10.2. Para efeitos de continuidade da vigência contratual, a cada 12 (doze) meses, o serviço objeto desta contratação é de natureza continuada.

6.10.3. O valor deste Contrato poderá ser reajustado pelo IPCA, mediante solicitação da CONTRATADA, observado o interregno mínimo de 01 (um) ano, contado da data limite para apresentação da proposta apresentada quando do processo licitatório, e nos reajustes subsequentes ao primeiro, da data de início dos efeitos financeiros do último reajuste ocorrido.

6.10.4. Caso o índice estabelecido para reajustamento venha a ser extinto ou de qualquer forma não possa mais ser utilizado, será adotado em substituição o que vier a ser determinado pela legislação então em vigor.

6.10.5. Na ausência de previsão legal quanto ao índice substituto, as partes elegerão novo índice oficial para reajustamento do contrato.

6.10.6. O prazo acima referido terá início e vencimento em dia de expediente, excluído o primeiro e incluído o último, e terá validade e eficácia legal após a publicação do extrato deste contrato no Diário Oficial da União.

6.10.7. O(s) CONTRATO(S) somente sofrerá (ão) alteração (ões) por meio de Termo Aditivo, consoante disposto no artigo 65 da Lei Federal nº 8.666/1993.10.

6.11.1. Quando o percentual de redução decorrente do descumprimento do Acordo de Níveis de Serviços for superior a 10%, por 3 (três) meses consecutivos, ou cumulativos no período de 6 (seis) meses, dependendo da avaliação mensal conjunta dos fatores impeditivos pelo não cumprimento dos indicadores.

6.11.2. Quando decorridos 20 (vinte) dias sem que a Contratada tenha, sem justificativa plausível, iniciado a prestação da obrigação assumida, ficará caracterizada a inexecução contratual, ensejando a sua rescisão e demais cominações legais.

6.11.3. Quando a Contratada não mantiver as qualificações exigidas na fase de Licitação por mais de 90 dias ensejará a rescisão contratual nos termos dos artigos 78 a 80 da Lei nº 8.666/1993.

6.12.1. As informações sigilosas devem focar restritas ao conhecimento das pessoas que estejam diretamente envolvidas nas atividades relacionadas à execução do objeto do Termo de Referência.

6.12.2. Em caso de dúvida acerca da confidencialidade de determinada informação, ela deve ser tratada sob sigilo até que o MPPI autorize, formalmente, a tratá-la de forma diferente.

6.12.3. O MPPI e a Contratada devem formalizar compromisso para não revelar, copiar, transmitir, reproduzir, utilizar, transportar ou dar conhecimento, em hipótese alguma, a terceiros, bem como a não permitir que qualquer empregado envolvido direta ou indiretamente na execução dos serviços objeto do Termo de Referência, em qualquer nível hierárquico de sua estrutura organizacional e sob quaisquer alegações, faça uso dessas informações, que se restringem estritamente ao cumprimento do objeto contratual.

6.12.4. É vedado efetuar qualquer tipo de cópia da informação sigilosa sem o consentimento expresso e prévio do MPPI.

6.12.5. A Contratada deve comprometer-se a estar ciente e em conformidade com as Diretrizes Básicas da Política de Segurança da Informação do MPPI, devendo atender às normas internas do Órgão, bem como à Legislação pertinente, detalhadas no Termo de Referência.

6.12.6. O atendimento ao Termo de Referência e às diretrizes básicas da Política de Segurança da Informação do MPPI deverá ser incorporada formalmente ao contrato de trabalho dos empregados que prestarem serviços ao MPPI.

6.12.7. Devem ser tomadas todas as medidas necessárias à proteção da informação sigilosa do MPPI, evitando e prevenindo a revelação a terceiros, sem a devida e prévia autorização formal do MPPI.

6.12.8. Quando requeridas, as informações deverão retornar imediatamente ao proprietário, bem como todas e quaisquer cópias eventualmente existentes.

6.12.9. O MPPI deverá ser comunicado, de imediato e de forma expressa, e antes de qualquer divulgação, os casos em que houver obrigação de revelar qualquer uma das informações, por determinação judicial ou ordem de órgão competente.

6.12.10. O compromisso de não utilizar qualquer informação adquirida quando de suas atividades para o MPPI deve ser assumido formalmente pela Contratada.

Emissor: Gestor do Contrato, Fiscal Técnico do Contrato e Fiscal Requisitante do Contrato

Para a implantação da Solução de TI deverão ser observados os prazos e condições previstos nos Requisitos da Implantação do Termo de Referência.

Esta contratação possui um cronograma de execução físico-financeira padrão a ser seguido para todo o contrato.

7.1. Para a habilitação nas licitações exigir-se-á dos interessados, nos termos dos artigos 27 a 33 da Lei n . 8.666/93, exclusivamente, documentação relativa a:

7.1.4.1. Atestado de Capacidade Técnica, fornecido por pessoa jurídica de direito público ou privado, comprovando que a Licitante executou ou se encontra executando serviços semelhantes ao do objeto da licitação, em características, de solução tecnológica de segurança coorporativa e monitoração simultânea de no mínimo 1.000 (mil) ameaças permanentes.

7.1.4.2. O atestado ou certidão de que trata o item 7.1.4.1. deverá ser apresentado em papel timbrado ou com carimbo do CNPJ da pessoa jurídica, contendo a identificação do signatário, cargo, nome e telefones ou qualquer outro meio que permita contato para eventuais diligências que se fizerem necessárias.

8.1. Após a fase da habilitação da documentação, o pregoeiro convocará a licitante arrematante para Prova de Conceito com objetivo de averiguar e demonstrar a existência dos requisitos especificados neste Termo de Referência, bem como validar o funcionamento da ferramenta oferecida com utilização de casos de teste.

8.2. Será constituída uma Comissão de Avaliação, por meio de Portaria, composta por membros da CTI, para avaliação da prova de conceito, bem como, posterior elaboração de parecer técnico, levando em consideração as exigências contidas no item 8 e seus subitens, do presente Termo de Referência.

8.3. O pregoeiro, antes de chamar a licitante arrematante, deverá comunicar a CTI para que indique a comissão avaliadora, no prazo de 03 (três) dias úteis, da comunicação pelo pregoeiro.

8.3.1.Na comunicação disposta no item 8.3., a CTI também deverá indicar expressamente o número de telefone e e-mail que a licitante deverá entrar em contato para obter as informações e calendário da prova de conceito.

8.4. Após a formação da equipe avaliadora pela CTI, com a devida comunicação ao pregoeiro, este deverá convocar a licitante arrematante conforme disposto no item 8.1.

8.5. A licitante arrematante e as demais interessadas deverão entrar em contato pelo telefone e e-mail indicados, no prazo máximo de 02 (dois) dias úteis, conforme disposto no item 8.3.1., para obtenção do calendário a ser definido pela CTI de acordo com o item 8.6.

8.6. A prova de conceito será realizada em até 05 (cinco) dias úteis, conforme calendário a ser definido pela comissão avaliadora indicada pela CTI.

8.7. Caso o prazo máximo estipulado para a apresentação e demonstração da prova de conceito caia em final de semana ou feriado, será transferida para o próximo dia útil subsequente.

8.8.1.1. A comissão avaliadora indicará endereço de e-mail e telefone para os quais as notificações de ocorrência deverão ser enviadas;

8.8.1.2. A licitante indicará endereços IP onde seus honeypots estão operando, lista de Ips e blocos do sistema autônomo e as credenciais de acesso á ferramenta.

8.8.2.Fase de Coleta, que se iniciará no dia seguinte à reunião inicial e terá a duração de seis dias ininterruptos até as 23h59min do último dia.

8.8.3.Fase de verificação de resultados, na qual se observarão os resultados alcançados, com a respectiva demonstração de cada uma das exigências contidas neste Termo de Referência.

8.9. Durante o período de coletas, nem todos os incidentes e situações descritas neste termo de referência serão passíveis de observação relativamente ao escopo do MPPI. Assim, na fase de demonstração dos resultados da Prova de Conceito, serão admitidas demonstrações de incidentes observados no escopo de outras instituições monitoradas, desde as coletas, realizadas de modo não invasivo, sirvam para demonstrar o atendimento de todos os requisitos deste termo de referência.

8.10. A comissão avaliadora atentará para os requisitos de interface descritos, sobretudo a possibilidade de a interface demonstrar os resultados de forma clara e facilmente acessível.

8.11. Será avaliada a visualização, na interface, das informações coletadas sobre o escopo, dos dados referentes a atores maliciosos, dos detalhes e análises sobre os diversos tipos de ocorrência.

8.12. A ferramenta deverá persistir e apresentar todos os dados exigidos para cada tipo de coleta, conforme descrido neste Termo de Referência.

8.13. A CTI, por meio da comissão avaliadora, terá o prazo de até 05 (cinco) dias úteis para divulgar a aprovação ou reprovação da licitante.

8.14. O não atendimento às especificações técnicas e funcionais ensejará na desclassificação da licitante arrematante.

8.15. Se comprovado que a licitante arrematante, durante a prova de conceito, tentar ludibriar, frustrar, fraudar, enganar ou perturbar o certame, estará sujeita às penalidades previstas no artigo 90 da Lei Federal 8.666/93.

8.16. Não obstante as sanções e penalidades previstas e aplicáveis no artigo 90 da Lei Federal 8.666/93, a licitante será multada em 5% sobre o valor total da sua proposta.

8.17. No caso de caso fortuito ou força maior, que venha prejudicar a realização e avaliação da prova de conceito, a sessão será suspensa e reiniciada em nova data e horário a serem definidas pela CTI.

8.18. Em consonância com o princípio da publicidade, todas as licitantes terão o direito de acompanhar as sessões da Prova de Conceito.

8.19. As licitantes deverão entrar em contato com a CTI, através do e-mail e telefone, conforme disposto no subitem 8.3.1, para obter informações a respeito da data e horário da realização da prova de conceito, bem como, informar o interesse em acompanhar a prova de conceito, desde que em tempo hábil.

8.20. Em caso de desclassificação da empresa arrematante nesta fase da Prova de Conceito, a próxima licitante melhor classificada será convocada pelo(a) Pregoeiro(a), no sistema eletrônico do Pregão.

9.1. O licitante vencedor deverá, no prazo de 05 (cinco) dias úteis, após a convocação, assinar a Ata de Registro de Preços.

9.1.1.O prazo estabelecido no item 9.1. poderá ser prorrogado, por igual período, quando solicitado pelo fornecedor e desde que ocorra motivo justificado e aceito pela CTI.

9.2. É facultado à CTI, quando o convocado não assinar a Ata de Registro de Preços no prazo consignado no item 9.1., convocar os licitantes remanescentes, na ordem de classificação para fazê-lo em igual prazo e nas mesmas condições propostas pelo primeiro classificado.

9.3. A recusa injustificada do fornecedor classificado em assinar a Ata de Registro de Preços, dentro do prazo estabelecido, ensejará a aplicação das penalidades legalmente estabelecidas.

9.4. A vigência da Ata de Registro de Preço será de 12 (doze) meses, a contar da sua publicação no DOEMP/PI.

9.5. Os Contratos oriundos da Ata de Registro de Preço deverão ser assinados dentro do prazo de sua respectiva validade.

9.6. A ata de registro de preços, durante sua validade, poderá ser utilizada por qualquer órgão ou entidade da administração pública que não tenha participado do certame licitatório, mediante anuência do órgão gerenciador, desde que devidamente justificada a vantagem e respeitadas, no que couber, as condições e as regras estabelecidas na Lei no 8.666, de 1993 e no Decreto Estadual no 11.319/04.

9.7. Caberá ao fornecedor beneficiário da Ata de Registro de Preços, observadas as condições nela estabelecidas, optar pela aceitação ou não do fornecimento, desde que este fornecimento não prejudique as obrigações anteriormente assumidas com o órgão gerenciador e órgãos participantes.

9.8. As aquisições ou contratações adicionais a que se refere este item não poderão exceder, por órgão ou entidade, a 50% (cinquenta por cento) dos quantitativos dos itens do instrumento convocatório e registrados na ata de registro de preços para o órgão gerenciador e órgãos participantes.

9.9. As adesões à ata de registro de preços são limitadas, na totalidade, ao dobro do quantitativo de cada item registrado na ata de registro de preços para o órgão gerenciador e órgãos participantes, independente do número de órgãos não participantes que eventualmente aderirem.

9.10. Ao órgão não participante que aderir à ata competem os atos relativos à cobrança do cumprimento pelo fornecedor das obrigações contratualmente assumidas e a aplicação, observada a ampla defesa e o contraditório, de eventuais penalidades decorrentes do descumprimento de cláusulas contratuais, em relação as suas próprias contratações, informando as ocorrências ao órgão gerenciador.

9.11. Após a autorização do órgão gerenciador, o órgão não participante deverá efetivar a contratação solicitada em até 90 (noventa) dias, observado o prazo de validade da Ata de Registro de Preços.

9.11.1. Caberá ao órgão gerenciador autorizar, excepcional e justificadamente, a prorrogação do prazo para efetivação da contratação, respeitado o prazo de vigência da ata, desde que solicitada pelo órgão não participante.

10.1.A vigência do Contrato será de 12 (doze) meses, a partir de sua publicação no Diário Oficial do Ministério Público do Estado do Piauí – DOEMP/PI.

10.2.Os serviços deverão ser executados nos locais, dias e horas determinadas pela Contratante na Ordem de Serviço.

10.3.O prazo para prestação dos serviços será de até 15 (quinze) dias corridos, contados a partir da data de recebimento da Ordem de Serviço pela Contratada.

10.4.As especificações da prestação dos serviços constam no Anexo I e deve ser fielmente observada pelas Contratadas.

O orçamento estimado para a adesão almejada totaliza o importe de R$ 624.500,00 (seiscentos e vinte e quatro mil e quinhentos reais) inclusos taxas e impostos pertinentes, para eventual contratação obedecendo aos quantitativos e especificações constantes no Anexo I .

13.1. Os acréscimos ou supressões que se fizeram necessários no quantitativo de fornecimento não ultrapassarão o montante de até 25% (vinte e cinco por cento) do valor inicial do contrato como dispõe o art. 65, § 1º, da Lei Federal n. 8.666/93.

13.2.O prazo contratual poderá ser prorrogado por meio de Termo Aditivo, de acordo com o interesse e a necessidade da Administração, com as devidas justificativas, nos casos previstos no art. 57 da Lei Federal n. 8.666/93.

13.3. Os preços são fixos e irreajustáveis no prazo de um ano contado da publicação do contrato.

13.3.1. Dentro da vigência contratual e mediante solicitação da Contratada, os preços poderão ser reajustados, após um ano da publicação do contrato, aplicando-se o ICTI – Índice de Custo da Tecnologia da Informação, pela sua variação acumulada nos últimos 12 (doze) meses, exclusivamente para as obrigações iniciadas e concluídas após a ocorrência da anualidade.

13.3.2. Nos reajustes subsequentes ao primeiro, o interregno mínimo de um ano será contado a partir dos efeitos financeiros do último reajuste.

13.3.3. No caso de o índice estabelecido para o reajustamento venha a ser extinto ou de qualquer forma não possa mais ser utilizado, será adotado, em substituição, o que vier a ser determinado pela legislação então em vigor.

13.3.3.1. Na ausência de previsão legal quanto ao índice substituto, as partes elegerão novo índice oficial, para reajustamento do preço do valor remanescente, por meio de termo aditivo.

14.1. É admissível a fusão, cisão ou incorporação da Contratada com/em outra pessoa jurídica, desde que sejam observados pela nova pessoa jurídica todos os requisitos de habilitação exigidos na licitação original, assim como que sejam mantidas as demais cláusulas e condições do contrato e que não haja prejuízo à execução do objeto pactuado, devendo a Contratante anuir expressamente com a continuidade do contrato.

15.1. O contrato poderá ser rescindido, por mútuo interesse entre as partes, atendidas a conveniência da Contratante, de forma imediata e independentemente de interpelação judicial ou extrajudicial, recebendo a Contratada o valor correspondente ao objeto entregue.

15.2. Comete infração administrativa, conforme a Lei Federal nº 10.520/2002, a Contratada que:

15.2.1. inexecutar total ou parcialmente qualquer das obrigações assumidas em decorrência da contratação.

15.3. Pela inexecução total ou parcial do objeto deste contrato, a Administração pode aplicar à Contratada as seguintes sanções:

15.3.1. Advertência por escrito, quando do não cumprimento de quaisquer das obrigações contratuais consideradas faltas leves, assim entendidas aquelas que não acarretam prejuízos significativos para o serviço contratado;

15.3.2.1. 0,1% (um décimo por cento) até 0,2% (dois décimos por cento) por dia sobre o valor adjudicado em caso de atraso na execução dos serviços, limitada a incidência a 15 (quinze) dias. Após o décimo quinto dia e a critério da Administração, no caso de execução com atraso, poderá ocorrer a não-aceitação do objeto, de forma a configurar, nessa hipótese, inexecução total da obrigação assumida, sem prejuízo da rescisão unilateral da avença.

15.3.2.2. 0,1% (um décimo por cento) até 10% (dez por cento) sobre o valor adjudicado, em caso de atraso na execução do objeto, por período superior ao previsto no subitem acima, ou de inexecução parcial da obrigação assumida.

15.3.2.3. 0,1% (um décimo por cento) até 15% (quinze por cento) sobre o valor adjudicado, em caso de inexecução total da obrigação assumida.

15.3.2.4. 0,2% a 3,2% por dia sobre o valor mensal do contrato, conforme detalhamento constante das tabelas 1 e 2, abaixo.

15.3.2.5. 0,07% (sete centésimos por cento) do valor do contrato por dia de atraso na apresentação da garantia (seja para reforço ou por ocasião de prorrogação), observado o máximo de 2% (dois por cento).

15.3.2.6. O atraso superior a 25 (vinte e cinco) dias autorizará a Contratante a promover a rescisão do contrato.

15.3.2.7. As penalidades de multa decorrentes de fatos diversos ser o consideradas independentes entre si.

15.3.3. Suspensão de licitar e impedimento de contratar com o órgão, entidade ou unidade administrativa pela qual a Administração Pública opera e atua concretamente, pelo prazo de até dois anos.

15.3.4. Declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade, que será concedida sempre que a Contratada ressarcir a Contratante pelos prejuízos causados;

15.3.5. As sanções previstas nos subitens 15.3.1., 15.3.3. e 15.3.4., poderão ser aplicadas à Contratada juntamente com as de multa, descontando-a dos pagamentos a serem efetuados.

15.3.6. Para efeito de aplicação de multas, às infrações são atribuídos graus, de acordo com as tabelas 1 e 2:

15.4. Também ficam sujeitas às penalidades do art. 87, III e IV da Lei nº 8.666, de 1993, as empresas ou profissionais que:

15.4.1. tenham sofrido condenação definitiva por praticar, por meio dolosos, fraude fiscal no recolhimento de quaisquer tributos;

15.4.2. tenham praticado atos ilícitos visando a frustrar os objetivos da licitação;

15.4.3. demonstrem não possuir idoneidade para contratar com a Administração em virtude de atos ilícitos praticados.

15.4.4. A aplicação de qualquer das penalidades previstas realizar-se-á em processo administrativo que assegurará o contraditório e a ampla defesa à Contratada, observando-se o procedimento previsto na Lei nº 8.666, de 1993, e subsidiariamente a Lei nº 9.784, de 1999.

15.5. As multas devidas e/ou prejuízos causados à Contratante serão deduzidos dos valores a serem pagos, ou recolhidos em favor da União, ou deduzidos da garantia, ou ainda, quando for o caso, serão inscritos na Dívida Ativa da União e cobrados judicialmente.

15.6. Caso o valor da multa não seja suficiente para cobrir os prejuízos causados pela conduta do licitante, a Contratante poderá cobrar o valor remanescente judicialmente, conforme artigo 419 do Código Civil.

15.7. A autoridade competente, na aplicação das sanções, levará em consideração a gravidade da conduta do infrator, o caráter educativo da pena, bem como o dano causado à Administração, observado o princípio da proporcionalidade.

15.8. Da aplicação das penalidades caberá recurso no prazo de 05 (cinco) dias úteis, contados do recebimento da Notificação.

16.1. A licitante quando da apresentação de documentação de habilitação deverá informar qual o endereço eletrônico será utilizado para trocas de correspondências, comunicados, termos contratuais, empenhos e demais atos pertinentes a fiel execução do objeto contratado.

16.2. A empresa registrada, quando for o caso, deverá assinar o termo de contrato, aceitar ou retirar o instrumento equivalente, dentro do prazo de 03 (três) dias úteis, a contar da data da convocação, sob a pena de decair o direito à contratação, sem prejuízo das sanções previstas no art. 81 da Lei Federal n. 8.666/93.

16.2.1. Este prazo poderá ser prorrogado uma vez, por igual período, quando solicitado e devidamente justificado pela parte interessada e aceito pela Administração.

16.3. É expressamente vedada a Contratada contratar servidor pertencente ao quadro de pessoal da Contratante durante a vigência contratual.

16.4. O contrato deverá ser publicado, por meio de extrato no Diário Oficial do Ministério Público do Estado do Piauí, nos termos do parágrafo único, do art. 61 da Lei Federal n. 8.666/93.

16.5. Os casos omissos e as dúvidas que surgirem quando da execução do contrato serão resolvidas entre as partes contratantes por meio de procedimentos administrativos.

Documento assinado eletronicamente por ITALO GARCIA ARAUJO NOGUEIRA, Coordenador de Tecnologia da Informação, em 12/12/2022, às 13:28, conforme art. 1º, III, "b", da Lei 11.419/2006.

Documento assinado eletronicamente por Marcos Maciel Martins Brito, Chefe de Divisão, em 12/12/2022, às 13:59, conforme art. 1º, III, "b", da Lei 11.419/2006.

Documento assinado eletronicamente por HUGO DE SOUSA CARDOSO, Subprocurador(a) de Justiça Institucional, em 12/12/2022, às 14:03, conforme art. 1º, III, "b", da Lei 11.419/2006.

Documento assinado eletronicamente por AFRANIO OLIVEIRA DA SILVA, Coordenador de Licitações e Contratos, em 13/12/2022, às 09:56, conforme art. 1º, III, "b", da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site https://sei.mppi.mp.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0375224 e o código CRC A75AB56C.

Nível	Descrição	Prazo máximo de início de atendimento	Prazo máximo para a solução
1	Solução sem condições de funcionamento em ambiente de produção.	Até 1 (uma) hora após a abertura do chamado	24 horas após a abertura do chamado.
2	Problema grave, prejudicando o funcionamento da Solução em ambiente de produção.	Até 4 (quatro) horas após a abertura do chamado	48 horas após a abertura do chamado.
3	Problema restringe o pleno funcionamento da Solução em ambiente de produção.	Até 4 (quatro) horas após a abertura do chamado	48 horas após a abertura do chamado.
4	Problema não afeta o funcionamento da Solução em ambiente de produção ou problema inerente aos demais ambientes.	12 horas após a abertura do chamado.	60 horas após a abertura do chamado.
5	Dúvida ou questionamento sobre a funcionalidade da Solução.	12 horas após a abertura do chamado.	60 horas após a abertura do chamado.
5	Instalação de novas versões e/ou aplicação de correções programadas nos produtos da Solução.	1 dia corrido	3 dias corridos

Descrição	Periodicidade	Condições de Pagamento
ITEM 1 - Serviços de Solução de Coleta e Processamento de Dados por 12 meses	Parcela única anual	Anual, durante a cobertura contratual, mediante entrega e apresentação da NF
ITEM 2 - Serviços Técnicos Especializados em Segurança da Informação por Demanda	Parcela mensal sob demanda	Mensal, durante a cobertura contratual, mediante entrega e apresentação da NF
ITEM 3 - Serviços de Instrutoria e Treinamento Especializado	Parcela única anual	Anual, após a conclusão da instrutoria e treinamento da solução e apresentação da NF

GRAU	CORRESPONDÊNCIA
1	0,2% ao dia sobre o valor mensal do contrato
2	0,4% ao dia sobre o valor mensal do contrato
3	0,8% ao dia sobre o valor mensal do contrato
4	1,6% ao dia sobre o valor mensal do contrato
5	3,2% ao dia sobre o valor mensal do contrato

INFRAÇÃO
ITEM	DESCRIÇÃO	GRAU
1	Permitir situação que crie a possibilidade de causar dano físico, lesão corporal ou consequências letais, por ocorrência;	05
2	Suspender ou interromper, salvo motivo de for a maior ou caso fortuito, os servi os contratuais por dia e por unidade de atendimento;	04
3	Manter funcionário sem qualificação para executar os serviços contratados, por empregado e por dia;	03
4	Recusar-se a executar serviço determinado pela fiscalização, por serviço e por dia;	02
5	Retirar funcionários ou encarregados do serviço durante o expediente, sem a anuência prévia do CONTRATANTE, por empregado e por dia;	03
PARA OS ITENS A SEGUIR, DEIXAR DE:
6	Registrar e controlar, diariamente, a assiduidade e a pontualidade de seu pessoal, por funcionário e por dia;	01
7	Cumprir determinação formal ou instrução complementar do órgão fiscalizador, por ocorrência;	02
8	Substituir empregado que se conduza de modo inconveniente ou n o atenda às necessidades do serviço, por funcionário e por dia;	01
9	Cumprir quaisquer dos itens do Edital e seus Anexos não previstos nesta tabela de multas, após reincidência formalmente notificada pelo órgão fiscalizador, por item e por ocorrência;	03
10	Indicar e manter durante a execução do contrato os prepostos previstos no edital/contrato;	01
11	Providenciar treinamento para seus funcionários conforme previsto na relação de obrigações da CONTRATADA	01

ITEM	SERVIÇOS	UNIDADE	QUANTIDADE	V. UNIT. ESTIMADO	V. TOTAL ESTIMADO
01	Serviços de Solução de Coleta e Processamento de Dados por 12 meses	UND	1	R$ 525.940,00	R$ 525.940,00
02	Serviços Técnicos Especializados em Segurança da Informação por Demanda	HORA	240H	R$ 379,00	R$ 90.960,00
03	Serviços de Instrutoria e Treinamento Especializado	HORA	20h	R$ 380,00	R$ 7.600,00
TOTAL ESTIMADO					R$ 624.500,00

Equipe de Planejamento da Contratação
Integrante Técnico	Integrante Requisitante	Integrante Administrativo
____________________ Marcos Maciel Martins Brito Matrícula: 104	_____________________ Ítalo Garcia Nogueira Araújo Matrícula: 15807	___________________ Afrânio Oliveira da Silva Matrícula: 176
Teresina, 12 de dezembro de 2022.