CHAMADA SOFTEX Contratação de Empresa especializada em soluções de segurança perimetral

Transcrição

1 CHAMADA SOFTEX Contratação de Empresa especializada em soluções de segurança perimetral SOFT/Edital/058/201 A SOFTEX torna publica a presente chamada e convida os interessados a apresentarem propostas nos termos e especificações ora estabelecidas, e em conformidade com a Legislação Nacional vigente. 1 - INFORMAÇÕES GERAIS 1.1 Objeto Chamada para o processo licitatório na modalidade concorrência para seleção de propostas voltadas a contratação de empresa de tecnologia que possua soluções integradas na área de segurança perimetral para redes e Internet. 1.2 Objetivo Contratação de empresa especializada em desenvolvimento de produtos de segurança de perímetro com capacidade de desenvolver um sistema de defesa cibernético. O mesmo será composto por módulos, que serão interoperáveis, capazes de bloquear, informar e detectar ataques, e receber comando remotos de configuração para a mitigação dos mesmos. Os módulos conterão uma série de tecnologias agrupadas em sistemas virtualizados e appliance, podendo operar de acordo com a necessidade e com gerencia remota e centralizada. 2 - CARACTERÍSTICAS DA PROPOSTA Pré-requisito para elegibilidade: Empresa associada ao Softex ou a um de seus agentes autorizados; Empresa especializada em desenvolvimento de produtos de segurança voltados a segurança de perímetro; Possuir mais de 15 anos no Mercado com foco no objeto desta chamada; Apresentação de um atestado de capacidade técnica com clientes acima de máquinas; Apresentação de um atestado de capacitação técnica com fornecimento de 300 unidades de dispositivos de segurança de perímetro gerenciadas e monitoradas de modo centralizado em localidades físicas diferentes; Um ou mais atestados de capacidade técnica de monitoramento/gerência de solução de segurança que somados atinjam 500 pontos monitorados; Apresentação de 5 atestados de capacitação técnica de produtos desenvolvidos pela empresa que tenham perfil similar ao solicitado no objeto do contrato; Certificação em consonância com o Decreto N º (CERTICS) em pelo menos um produto que represente um conjunto significativo das funcionalidades solicitadas no objeto desta chamada; Empresa com capacidade de disponibilizar produtos em ambiente virtualizado e em network appliances (máquinas especificamente preparadas para este fim) com sistema operacional customizado capaz de aplicar atualizações remotas de correções e atualizações de sistema, inclusive do sistema operacional. Ter sistema de recuperação por USB ou por sistema de armazenamento interno adicional para operações de recuperação. Deve apresentar material que comprove este item;

2 SOFT/Edital/058/201 Empresa com capacidade de disponibilizar appliances com network performance que variam de 200Mb a 0 Giga para firewall, que variam de 1 giga de memória a 250 giga de memória e com número de interfaces que variam de 3 a 128 interfaces 100/1000 Mbits RJ5 e opcionais de discos SSD. Possibilitar uso de interfaces de 10 giga fibra e 1 giga fibra dependendo do modelo apresentado. Ter como opcional, placas aceleradoras de criptografia para algoritmos como AES e 3DES. Apresentar documentação que comprovem este item; Comprovação por declaração de associação competente ou registro no INPI que a empresa é desenvolvedora de produtos com funcionalidades similares as solicitadas. A descrição deve ser clara o suficiente para identificar as similaridades. 2.1 REQUISITOS RELATIVOS AOS PROPONENTES Serão elegíveis para habilitação, mediante comprovação documental, os itens abaixo relacionados, sem excludente às exigências previstas no artigo 27 e seguintes da lei 8666/93 e demais cabentes à matéria: entidades/empresas de direito privado que tenham objetivos sociais relacionados ao objeto desta chamada, comprovado mediante os seguintes documentos: i) Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ/MF). ii) Prova de inscrição no cadastro de contribuintes estadual ou municipal, relativo ao domicílio ou sede; iii) Certidão de regularidade para com as Fazendas Federal, Estadual, Municipal e/ou do Distrito Federal, consoante o Artigo 29, Inciso III, da Lei Nº /93; iv) Certidão de regularidade junto ao Fundo de Garantia por Tempo de Serviço - FGTS, fornecida pela Caixa Econômica Federal, de acordo com o inciso IV do Art. 29 da Lei nº 8.666/93, c/c a Lei 8.036/90; e Certidão Negativa de Débitos - CND, de conformidade com o Inciso IV, do Art. 29, da Lei 8.666/93; v) Contrato/ Estatuto Social (cópia simples); vi) Ser empresa comprovadamente Brasileira, sem investimento ou relação societária com empresas ou grupos internacionais, e que já possua produtos em desenvolvimento na área de atuação deste edital, e que atue e resida em território nacional. As certidões apresentadas devem estar vigentes até a apresentação da proposta apresentar declaração de aceite/capacidade para receber/recepcionar as atividades descritas neste edital apresentação de uma rede/rol de clientes do exército na qual seus profissionais atuaram em projetos relacionados as áreas deste edital junto ao exército brasileiro, nós últimos 3 anos; 2.1. é vedada a apresentação/habilitação de propostas em consórcio. 2.2 REQUISITOS RELATIVOS A PROPOSTA Os proponentes apresentarão propostas que contemplará, além dos quesitos legalmente exigidos, as seguintes especificações necessárias, mas não limitadas, para atingir o objeto e objetivos da chamada: Proposta tratando detalhadamente do: a) Plano de Trabalho elencando as ações/fases e/ou etapas para incorporação e realização das seguintes atividades: i) Proposta de atuação junto as demais empresas pertencentes a este edital; ii) iii) iv) Proposta de atuação junto ao ministério da defesa e exército brasileiro; Reuniões mensais para alinhamento de material a ser usado nas redes sociais Descrição das ações por etapas para as integrações necessárias;

3 SOFT/Edital/058/201 b) Plano de Trabalho com previsão de execução em 2 meses a contar da contratação, elencando as ações/fases e/ou etapas para consecução dos seguintes resultados: a. SISTEMA DE PROTEÇÃO E DEFESA CIBERNÉTICA O sistema é composto por módulos que podem ou não estar integrados na mesma máquina virtual ou appliance, dependendo da necessidade de utilização. i. Interface e manuais em Português para todos os módulos apresentados. ii. Os módulos devem ser executados em ambiente virtualizado ou Network Appliance, com especificações técnicas de performance suficientes para o bom funcionamento do mesmo. iii. A Administração dos produtos deve ser remota, via interface WEB com HTTPS ou Proprietária com criptografia forte. b. MÓDULO DE ANTIVIRUS INTEGRADO - para utilização nós módulos ofertados que façam referência ao uso de antivírus. i. Capacidade de executar antivírus de mercado para gateway nos módulos ofertados. O mesmo deve verificar arquivos executáveis com compressão ou não, de acordo com a funcionalidade do módulo em questão. A verificação deve ocorrer na transmissão de arquivos dentro de protocolos, como SMTP, POP, HTTP e outros. ii. Capacidade de utilizar 2 ou mais antivírus de mercado para um mesmo arquivo. iii. Integração com Antivirus nacional como um dos antivírus possíveis de ser utilizado em conjunto com outros antivírus de mercado para a verificação de um mesmo arquivo. iv. Deve poder verificar contra vírus todos os arquivos e/ou páginas web acessados ou baixados através dos protocolos HTTP e FTP em browser; Deverá permitir análise heurística de vírus, configurável pelo administrador; Deverá ser capaz de analisar arquivos compactados no mínimo nos seguintes formatos: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2 e TAR; Deverá ser capaz de analisar arquivos executáveis compactados pelos programas UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch e WWWPack32; Deverá ser capaz de analisar arquivos compactados em até 20 níveis, mesmo com formatos diferentes; Deverá ter proteção automática contra ataques do tipo BZIP bomb e similares; c. MÓDULO DE SIEM - Security information and event management - informação e gerenciamento de eventos de segurança. A Solução deve possuir a capacidade de apoiar a implementação e operação efetiva de um sistema de gestão, por meio análises, avaliações, a identificação de eventos e dados em meios internos ou externos, a tomada de decisão sobre os riscos identificados ou ocorrências indesejáveis permitindo registrar e responder para anular ou mitigar a ocorrência e aperfeiçoar os processos. Tecnologia SIEM deve fornecer uma análise em tempo real de alertas de segurança gerados pelo hardware e aplicações de rede. i. O módulo de SIEM deve coletar dados do módulo de relatório, log e monitoramento. Na aplicação da regra, o módulo deve ser capaz de categorizar um evento em N níveis hierárquicos montando uma árvore invertida. Cada nível hierárquico deve conter em sua "folha" um conjunto de regras que sejam capazes de identificar as informações necessárias para gerar os alertas; Deve ser possível concatenar as regras em operações AND ou OR, sem limite, formando um conjunto associado a "folha da árvore", sendo possível referenciar campos de base de dados, operações de =, > ou <, e linguagem regular padrão; Cada conjunto de regra poderá ser aplicado a um conjunto de base de dados de ativos, de forma a facilitar a configuração do dispositivo; ii. Na geração de alertas, o módulo deve ser capaz de gerar alertas a partir de regras que coletam informações contidas no módulo monitoramento e no módulo de coleta de log e relatórios; Deve ser possível definir os níveis de criticidade destes alertas em uma tabela de valores de 0 a 10, sendo 0 menos crítico e 10 mais crítico com um identificador único para cada alerta. Deve ser possível estabelecer e executar as seguintes ações para os alertas: Enviar ; SMS; Syslog; Executar comandos SSH ou telnet; Integração com API de terceiros; Trap SMNP; O módulo

4 SOFT/Edital/058/201 de SIEM deve fornecer envio de alertas via API proprietária encriptada. Cada alerta poderá ter uma ou mais ações. d. MÓDULO FIREWALL UTM - Software de segurança da informação do tipo UTM (Unified Threat Management) que tenha a capacidade de integrar em um único dispositivo: filtro de pacotes com controle de estado, camada de antivírus, filtro de conteúdo WEB, filtro AntiSpam, VPN, IDS/IPS, balanceamento de carga, QoS e Proxy reverso. i. Efetuar controle de tráfego por estado no mínimo para os protocolos TCP, UDP e ICMP baseados nos endereços de origem, destino e porta; Suportar o Internet Protocol Versões (IPv) e o Internet Protocol Versões 6 (IPv6); Suportar o protocolo 802.1q, para uso e segmentação da rede com VLANs; Suportar o protocolo 802,1ax e 802.3ad (LACP), Link Aggregation Control Protocol; Dispõe de servidor DHCP interno e permite DHCP relay; Suportar PIM (Protocol Independent Multicast); Suportar o protocolo Distance-Vector Multicast Routing Protocol (DVMRP); Suporta funcionar em modo BRIDGE (transparente mode) esta funcionalidade permite que o Firewall funcione em modo transparente/oculto na rede, impossibilitando sua identificação, otimizando o tempo de configuração e diminuindo a intervenção humana neste processo; Capacidade para trabalhar com conversão de endereços e portas (NAT/NAPT) conforme RFC 3022; Suportar no mínimo os seguintes protocolos de roteamento dinâmico IPv: RIP1, RIP2, OSPF e BGP; O equipamento deverá suportar o registro do dispositivo dinamicamente, pelo seu endereço IP de WAN, em pelo menos 5 (cinco) provedores de serviços de DDNS; Possuir mecanismo de forma a possibilitar o funcionamento transparente dos protocolos FTP, Real Áudio, Real Vídeo, RTSP, H.323 e PPTP mesmo quando acessados por máquinas através de conversão de endereços. Este suporte deve funcionar tanto para acessos de dentro para fora quanto de fora para dentro; ii. Prover serviço VPN (Virtual Private Network) para pacotes IP e VPN SSL, com chaves de criptografia com tamanho igual ou superior a 128 bits, de forma a possibilitar a criação de canais seguros ou VPNs através da Internet; Suportar padrão IPSEC, de acordo com as RFCs 201 a 212, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão; Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), de modo a possibilitar que duas redes com endereço inválido possam se comunicar através da Internet; Mostrar, em tempo real, um gráfico de uso das VPNs IPSEC estabelecidas, permitindo auferir o tráfego em cada uma delas e as SPIs negociadas e ativas; O cliente de tunelamento de rede IP deverá ser, para clientes Windows e Linux, executar com privilégios básicos de usuário comum. Esta funcionalidade não é exigida apenas durante a primeira instalação do cliente; Deverá ser possível configurar o endereço/range IP a ser atribuído a placa de rede virtual do cliente de VPN, bem como sua máscara de rede, endereços dos servidores DNS, endereço dos servidores WINS, rota default e rotas para sub-redes; No VPN cliente/firewall deverá ser possível a configuração do envio ou não de pacotes broadcast da rede onde o servidor se encontra para o cliente; O cliente ao efetuar a conexão com o concentrador de VPN deverá verificar os seguintes itens de segurança: se o Firewall do Windows está ha Firewall do Windows está habilitado; Antivirus e ou AntiSpyware instalado; Windows atualizado; A solução de VPN deverá trabalhar no mínimo com os seguintes protocolos: IPSEC, PPTP, L2TP, SSL; iii. Implementação de perfis Hierárquicos com associação entre o login e grupo de um usuário a regras de segurança (filtragem de IP, controle de conteúdo, controle de aplicativos, QoS, VPN Roaming e SSL, FTP), via grupo de um domínio Linux ou Windows. A autenticação deve ser feita em múltiplas bases, utilizando LDAP, LDAP/SSL, LDAP/TLS, RADIUS, hardware tokens (SecureID ou equivalente), certificados X.509 (gravados em disco e/ou em tokens criptográficos/smartcards) e sistema S/KEY para a autenticação de usuários. Autenticação em múltiplas bases de forma transparente para Windows com clientes instalados nas estações e

5 SOFT/Edital/058/201 autenticação clientles para estações diversas e dispositivos moveis. As regras de filtragem devem ser aplicadas automaticamente após a autenticação. iv. Função de categorização de URL s e identificação de aplicações tuneladas em protocolo HTTP/HTTPS, de maneira a bloquear acesso a páginas WEB e aplicativos, para usuários ou grupo deles, a partir de categorias genéricas com capacidade de alteração de prioridade de tráfego, liberação e bloqueio; Capacidade de abrir o tráfego HTTPS e filtrar tráfego encriptado, o produto deverá atuar como "man in the middle" ou suportar a filtragem do protocolo HTTPS pelo campo CommonName do certificado digital; Implementar funcionalidade que possibilite a reescrita de URLs e a adição de cabeçalho HTTP e a concatenação (Stripping) de cabeçalho HTTP; Possibilitar a integração com cache WEB externos hierárquicos utilizando ICP (Internet Cache Protocol) e cache interno com capacidade de limpeza do cache; v. A solução deve suportar funcionamento com 2 (dois) ou mais equipamentos idênticos, de forma que funcione com tolerância a falhas (ativo/passivo) ou alta performance (ativos/ativos), onde poderá trabalhar no mínimo de duas formas, de acordo com a necessidade da instalação. Sendo elas: Os dois dispositivos são ligados em paralelo, com réplicas do estado de conexões entre eles. O dispositivo secundário não estará tratando o tráfego, ele entrará em funcionamento para tratamento de tráfego somente quando o dispositivo principal cair, sem que se tenha perda de conexão, de canal VPN, usuários autenticados e IPs bloqueados pelo IPS/IDS; Dois ou mais dispositivos devem estar em funcionamento simultaneamente, balanceando o tráfego de rede entre eles de forma automática e replicando configuração, estado das conexões entre eles e também de forma automática, sem que se tenha perda de conexão, de canal VPN, usuários autenticados e IPs bloqueados pelo IPS/IDS em caso de falha de algum equipamento. Nesta modalidade, podem ser colocados até 12 firewalls em paralelo balanceando a carga sem a necessidade de um balanceador externo; vi. Deverá ser capaz de manter o sincronismo entre as seguintes configurações como Regras de Firewall, Regras de NAT, Entidades, Contas administrativas, Configuração de VPN, Configurações de rede, Roteamento estático, Roteamento dinâmicas, Perfis e bases de antivírus, filtros web, anti-spam e IDS/IPS. vii. Implementar mecanismo de divisão justa de largura de banda (QoS), permitindo a priorização de tráfego por regra de filtragem, por usuário ou ainda priorizando acesso a sites por categoria ou palavra-chave; Implementar mecanismo de limitação de banda através da criação de canais virtuais, permitindo que os mesmos serem alocados por regra de filtragem e por usuário; Permitir modificação (remarcação) de valores DSCP para o DiffServ; Implementar no mínimo 07 classes de serviço distintas, com configuração do mapeamento e marcação para códigos DSCP através da interface gráfica; Suporta priorização em tempo real de protocolos de voz (VOIP) como H.323, SIP, SCCP, MGCP e aplicações como Skype; viii. Suportar o uso simultâneo de múltiplos links em um mesmo firewall, de provedores distintos ou não, sendo o firewall o responsável por dividir o tráfego entre os distintos links e caso um deles fique indisponível todo o tráfego é transferido para o outro link ativo; Permitir o balanceamento de links com IPs dinâmicos para ADSL, ou outra tecnologia de banda larga que não utilize IP Fixo; Implementar mecanismo de balanceamento de carga, permitindo com que vários servidores internos, sejam acessados externamente pelo mesmo endereço IP. O balanceamento de canal deverá monitorar os servidores internos e, em caso de queda de um destes, dividir o tráfego entre os demais, automaticamente; Implementar mecanismo de persistência de sessão para o balanceamento de carga, através de diversas conexões, para quaisquer protocolos suportados pelos servidores sendo balanceados; O balanceamento de carga deverá ainda possibilitar que os servidores sejam monitorados através do protocolo ICMP ou requisições HTTP. Ele deverá também possuir pelo menos dois algoritmos distintos de balanceamento;

6 SOFT/Edital/058/201 e. MÓDULO DE ANTISPAM Para controle de , vírus e outras funcionalidades afins. i. Filtragens de mensagens eletrônicas para atuar no combate a vírus e para controle de tipos de anexos, tamanhos de anexos, palavras-chave, expressões regulares, endereços eletrônicos de remetentes e destinatários, remetentes, servidores, RBLs (configuráveis), URLs; Permitir uso de listas bloqueio ou aceite de remetentes ou domínios de forma global, grupo de usuários ou por usuários; Deverá fornecer filtro de detecção de spam bayseano conforme as seguintes especificações: Fornecimento de todas as atualizações de software assim como a atualização da base de conhecimento (novas regras de detecção de SPAM) por todo período do contrato; Deverá avaliar as mensagens e atribuir uma nota a cada uma delas, que corresponda à probabilidade da mesma ser SPAM, variando de 0 a 100%; As notas atribuídas às mensagens deverão ser calculadas utilizando-se bancos de dados com informações estatísticas obtidas de milhares de mensagens de , e produzidas através de análise bayesiana; Os bancos de dados com informações estatísticas deverão poder ser atualizados diária e automaticamente, através de download via Internet; Deverá possuir dois modos distintos de atribuição de notas para as mensagens: um que prioriza a detecção de SPAM e outro que reduz os falso-positivos; Deverá possibilitar que os usuários realizem treinamento do banco de dados de mensagens informando, para cada mensagem recebida, se a mesma é ou não SPAM; Permitir a criação de bases de dados de classificação distintas para cada usuário ou grupo de usuários, a fim de que cada base represente um perfil de usuário ou grupo de usuários específicos; Permitir mecanismo que faça com que o treinamento de cada usuário seja aproveitado somente na base correspondente ao seu grupo ou usuário do sistema; Permitir o backup e restauração das bases com os treinamentos dos usuários via interface de administração remota; Deverá possuir mecanismo de treinamento de mensagens para os leitores de para os quais não exista plugin disponível, através da modificação da mensagem original. Esta modificação deverá funcionar para qualquer cliente de que suporte a leitura de mensagens HTML; Deverá possuir mecanismo de treinamento de mensagens para os leitores de para os quais não exista plugin disponível, através da modificação da mensagem original. Esta modificação deverá funcionar para qualquer cliente de que suporte a leitura de mensagens HTML; Possibilitar registro da remoção, restauração ou criação de backup de bases; f. MÓDULO DE FILTRO WEB Para controle de acesso web, páginas maliciosas, download de arquivos. i. Possuir capacidade para efetuar classificação de URLs, de maneira a bloquear acesso a páginas WEB, para usuários ou grupo deles, a partir de categorias genéricas; Possuir pelo menos 75 categorias de classificação de URLs a serem consultadas no analisador de URLs do item anterior; Possibilitar o gerenciamento completo e a implantação de quotas para navegação web a um determinado usuário ou a um grupo de usuários, de acordo com o perfil de acesso, sendo baseada em volume de dados ou em tempo de utilização do serviço; Permitir a filtragem do tráfego HTTPS, atuando como man in the middle ; Implementar funcionalidade que possibilite a reescrita de URLs, concatenação (Stripping) de cabeçalho HTTP e a adição de cabeçalho HTTP; Possuir capacidade para efetuar classificação de URLs, de maneira a bloquear acesso a páginas WEB, para usuários ou grupo deles, a partir de categorias genéricas; g. MÓDULO CENTRALIZADOR DE LOG, GERADOR DE RELATÓRIOS E MONITORAMENTO Gerencia dos ativos de segurança, coleta de logs, armazenagem de logs, geração de relatórios e monitoramento on-line. i. Deverá possuir interface de Gerenciamento Web com possibilidade de habilitar o modo seguro HTTPS; Deverá possuir suporte ao protocolo SNMP V2 e V3; Possuir suporte ao protocolo NTP para atualização da hora do produto, sendo possível configurar até servidores para a consulta; Deverá ser possível configurar

7 SOFT/Edital/058/201 o endereçamento das interfaces de rede pela interface de gerencia Web; A solução deverá possibilitar o agendamento automático de atualizações de novas versões do produto; Possibilitar que seja configurado um servidor de para o envio de notificações de tarefas agendadas e deverá autenticação TLS; Deverá ser capaz de criar mais de um perfil de administração; Permitir a criação de perfis de administração baseado em papéis (role-based), de forma a possibilitar a definição de diversos administradores para o dispositivo, cada um responsável por determinada tarefa da administração; Permitir a conexão simultânea de vários administradores, sendo apenas um deles com poderes de alteração de configurações e os demais apenas de visualização das mesmas; Permitir que o segundo administrador ao se conectar possa enviar uma mensagem ao primeiro através da interface de administração; Possuir capacidade de consultar uma base local com usuários e também uma base remota do Active Directory (AD) e LDAP; A solução deverá receber logs de vários ativos via syslog, FTP e SFTP; Deverá filtrar logs de acordo com arquivos de definição de formatos de log associando cada arquivo de log a um tipo de ativo; Deverá converter logs recebidos em um formato padrão; Possuir janela de agendamento para geração de relatórios e envio via FTP, SFTP, SMTP e local próprio no servidor com controle de acesso; Possuir janela de agendamento para atualização automática das definições dos formatos de log suportados; Possuir janela de agendamento para atualização automática; Mostrar eventos de envio ou erro de operação; Armazenar logs padronizados em um banco de dados para consulta; Manter os logs armazenados no banco por um período determinado de tempo; Disponibilizar relatórios e consulta do banco de dados; Deverá fazer rotação dos arquivos de log e do banco de dados para remover arquivos e registros antigos; No Rotate deverá ter a opção de exportar os dados em texto e enviar via FTP/SFTP antes de excluir do banco; ii. O produto deverá funcionar como um centralizador de logs e eventos capaz de reter as informações conforme a disponibilidade de hardware e interesse do administrador; Possuir visualizações consolidadas para Administradores de Redes, Gestores de TI, Gestores da Segurança e Executivos, através de relatórios e gráficos personalizados para cada público alvo; iii. Deverá ser capaz de enviar relatórios por com arquivo anexado, embutido no ou apenas o link para os relatórios; A solução deverá possuir flexibilidade de customização dos relatórios; Deverá ser capaz de extrair os logs em processo batch, em horários pré-agendados; iv. Deverá ser capaz de extrair os logs do Windows, produtos Aker, Servidor Banco de Dados (Oracle e SQL), Unix e Linux; Deverá ser capaz de extrair os logs os logs de roteadores, switches, servidores de correio eletrônico e soluções de antivírus; Transferir os logs em processo batch, em horários pré-agendados; Transferir os logs via SYSLOG; v. Transferir os logs via protocolo seguro SSL; Deverá ser capaz de compactar os logs antes da transferência, objetivando diminuir o tráfego na rede; Deverá suportar a exportação de relatórios para, pelo menos, os seguintes formatos: HTML, Common Separated Value (CSV), XML e TXT; Permitir a importação dos logs para o banco de dados em processo batch, em horários pré-agendados. Possuir a capacidade de criar DashBoards (painel de controle) para acompanhamento da situação da infraestrutura monitorada;a solução deverá prover os seguintes Relatórios Gerenciais,:Previsão de crescimento: utilização de disco, memória e processador;atualizações: versão de software, patches e hot fixes instalados; Acessos: sites e serviços acessados, acessos fora do expediente e acessos remotos; Infra-estrutura: tráfego gerado, consumo de banda; Produtividade: tempo gasto no acesso à Internet, tempo gasto por serviço; Tentativas de ataque: ativo e serviço acessado, origem do ataque; Outros: documentos impressos, enviados e recebidos.

8 SOFT/Edital/058/201 vi. Possibilitar a geração de pelo menos os seguintes tipos de relatório, sendo possível exportar formato HTML, TXT e PDF: Máquinas mais acessadas; Serviços mais utilizados; Usuários que mais utilizaram serviços; URLs mais visualizadas; Categorias Web mais acessadas; Categoria do site bloqueado; Downloads realizados; Downloads bloqueados; Endereço IP acessado pelo proxy Web; Endereço IP bloqueado pelo proxy Web; Quota bytes consumidos; Quota tempo consumidos; Sites acessados; Sites Bloqueados; Maiores emissores/receptores de ; Possibilitar a geração de pelo menos os seguintes tipos de relatório com cruzamento de informações, sendo possível a exportação em formato HTML, TXT e PDF: Máquinas acessadas X serviços bloqueados; Usuários X URLs acessadas; Usuários X categorias Web bloqueadas (quando utilizado com filtragem de conteúdo Web); vii. O serviço de monitoramento deverá ser fornecido com os seguintes requisitos mínimos: viii. Deverá ser dimensionado para monitorar os ativos adquiridos no contrato; Interface para diagnóstico e monitoração; Permitir privilégios de leitura através de interface gráfica web; Efetuar o monitoramento por meio de captura automática de informações utilizando pelo menos SNMP, TCP, UDP e ICMP; Possibilitar a geração de relatórios instantâneos, contendo informações das coletas préestabelecidas, com gráficos de desempenho dos elementos existentes nos ativos monitorados; Permitir a criação de um mapa customizado da rede, com informações de dependências dos ativos monitorados; Possibilidade de coleta de dados sem a necessidade da utilização de portas especifica; Alertas de níveis críticos de ativos monitorados, por meio do protocolo SMTP ( ); Permitir o alerta de níveis críticos de ativos monitorados, por meio de SMS (Short Message Service); Possibilidade de avisar antecipadamente com envio de s em caso de acontecimentos de eventos pré-determinados; Possibilidade de gerar alertas, a partir do acontecimento das seguintes situações: Alerta de alta utilização de memória; Alerta de alta utilização do processador; Alerta de queda de um determinado serviço ou do próprio ativo monitorado; Possibilidade de monitoramento de outros ativos que suportem SNMP Versão 2 e Versão 3; Possibilidade de geração de tela de monitoramento de todos os ativos sendo monitorados com seus estados sendo atualizados periodicamente; Permitir a integração com serviço de geo-refenciado para geração de gráficos com pontos marcados no mapa; Possibilidade de verificação de notificações geradas de acordo com: Tipo de notificação, nome de host, período de notificação, nome de contato; Possibilidade de geração de tela de resumo do monitoramento, mostrando notificações na semana, estado de ativos, disponibilidade e dados de ultima coleta; O serviço deverá possibilitar o acesso GUI via interface WEB, nos modo https, para acompanhamento remoto; h. MÓDULO IPS/IDS Detecção de ataques vindos da Internet a partir de assinaturas i. Deverá permitir atuar nos seguintes modos: IDS: Está modalidade simplesmente detecta o ataque e permite a visualização e geração de logs; Modo IDS/IPS passivo e ativo permitindo a analise o trafego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras; IPS em Modo Aprendizado: Deverá funcionar da mesma forma que o modo de operação anterior (IPS), mas não poderá executar nenhuma ação de prevenção. Este modo informa ao usuário quais pacotes poderiam ter sido bloqueados. Este modo é recomendado para testes em ambientes para redução de falsos positivos. Deve operar em camada 2 OSI (Layer 2), span-mode ou bridge-mode (segmento), sendo vedada a alocação de IP válido nas interfaces físicas de rede. Possuir modo de Inspeção baseados em regras e assinaturas; Metodologias de detecção Multidimensional: Assinaturas (Impressões Digitais) do Ataque. Anomalias no Protocolo. Anomalias no Comportamento. A base de assinaturas do IPS e DPI nativo deverá ser fornecida pelo fabricante; Possuir filtro de aplicações de modo a permitir a

9 SOFT/Edital/058/201 identificação de padrões de dados dentro das conexões, possibilitando o tratamento automático (auditoria, geração e alertas, bloqueios e liberação) serviços bem como de aplicações do tipo peer-to-peer, de download de arquivos, entre outros; Deverá permitir que as assinaturas de detecção e prevenção sejam associadas a grupos de servidores específicos; Deverá suportar fragmentação e desfragmentação IP; Deverá implementar detecção de protocolos independentemente da porta utilizada; Deverá possibilitar a resposta há eventos com TCP Reset ou descarte de pacotes; Prover proteção contra os ataques de negação de serviço SYN Flood, Land, Tear Drop e Ping O'Death; Possuir mecanismo que limite o número máximo de conexões simultâneas de um mesmo cliente para um determinado serviço e/ou servidor; Possuir prevenção de intrusão (IPS) nativo, permitindo o bloqueio do ataque em caso de detecção do mesmo; Usar autenticação forte e mecanismos de criptografia para todos os componentes da solução; Remontar todos fluxos de pacote fragmentados ou não; Deverá suportar o conceito de pré-processador, permitindo que um determinado protocolo funcione apenas em um conjunto de portas. Este conceito pode ser utilizado nos proxies que tem portas dinâmicas como: RPC, FTP, SIP, H323. Assim, as regras destes protocolos não seriam aplicadas em todas as portas e conexões, seriam aplicadas apenas nas conexões negociadas, economizando CPU; ii. Fabricate deve garantir o fornecimento de updates diários dentro do período de assinatura contratado; Deverá permitir a atualização automática das assinaturas por meio de agendamento diário; Prover linguagem para criação de regras proprietária ou compatível com assinaturas do Snort; Deverá ser possível importar regras compatíveis do padrão do Snort; Deve implementar proteção positiva e segura contra: Ataques de Worm, Trojan, Backdoors, Portscans, IP Spoofing, DoS e Spywares; Ataques a comunicações VoIP; Ataques e utilização de tecnologia P2P; Ataques de estouro de pilha (buffer overflow); Ataques do tipo dia-zero (zero-day); Tráfego mal formado; iii. Cabeçalhos inválidos de protocolo; Deve possuir filtros de normalização de tráfego, que bloqueiem tráfego malicioso ou que apresente comportamento anormal. Deve possuir a capacidade de bloquear os seguintes tipos distintos: IP Header Incomplete; iv. IP Fragment Invalid; IP Fragment Out of Range; IP Duplicate Fragment; IP Length Invalid; IP Fragment Total Length Mismatch; IP Fragment Overlap; IP Fragment Bad MF Bits; IP Fragment Expired; TCP Segment Overlap With Different Data; TCP Header Length Invalid; TCP Flags Invalid; TCP Header Incomplete; TCP Length Invalid; TCP Reserved Flags Invalid; ICMP Header Incomplete; v. Possuir capacidade de inspeção profunda de pacotes (Deep Package Inspection - DPI), incluindo todo o payload: Possuir capacidade de inspecionar e bloquear em tempo real, aplicativos e transferências de arquivos do tipo P2P (peer to peer) tais como Kazaa e de IM (Instant Messaging), tais como ICQ, MSN; Possuir a capacidade de controlar, bloquear o download de tipos de arquivos específicos via FTP e HTTP; Permitir o controle de acesso por fluxo de tráfego para controle de IMs como Skype, Google Talk, Yahoo Messenger e Facebook Messenger; Possui a capacidade de identificar o tráfego Web e classifica-lo de acordo com as aplicações e sub aplicações trafegando na rede, tais como redes sociais: Facebook, Google+, Twitter, etc; de comunicação: Skype, Gmail, GTalk, MSN, etc; Permitir identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas via comunicações criptografadas, tais como Ultrasurf, Skype e ataques mediante a porta 3; Suporta a detecção de aplicações dinâmicas dentro de sessões de proxy HTTP; Este serviço deve detectar e bloquear no mínimo (três mil) assinaturas de aplicações; vi. Permitir inserção de novas regras/assinaturas sem interrupção de tráfego; Possibilitar a visualização, edição e criação de regras; Possuir mecanismo de

10 SOFT/Edital/058/201 atualização automática de suas assinaturas; Permitir habilitar e desabilitar regras de forma rápida; Permitir gerência através interface gráfica segura (HTTPS); Possibilitar a criação de listas Brancas (White Lists); Possibilitar a criação de listas Negras (Black Lists); Possibilidade de filtrar pela classificação dos eventos e pelos endereços IPs; Permitir descobrir o tipo de ataque que está ocorrendo e aonde ele ocorre; Possuir suporte ao protocolo SNMP (v1, 2 e 3), através de MIB2; Permitir em tempo real a visualização de estatísticas do uso de CPU, memória do dispositivo, através da interface gráfica remota, de forma gráfica ou em tabelas; Possuir alerta que informe o administrador através de s alertas desejadas; Permitir a criação de perfis de administração com pelo menos um perfil de direito total e outro apenas com direito de visualização; Deverá possuir interface de Gerenciamento Web com possibilidade de habilitar o modo seguro HTTPS; Possuir mecanismo que permita a realização de cópias de segurança (backups) e restauração remota, através da interface gráfica, sem necessidade do reinício do sistema; Possuir mecanismo que possibilite a aplicação de correções e atualizações para o dispositivo de forma remota por meio da interface gráfica; Possuir interface orientada a linha de comando (Command Line Interface) para a administração do dispositivo a partir do console; Possuir integração LDAP (Lightweight Directory Access Protocol) e Microsoft Active Directory para implementação de política de gereciamento; Permitir inserção de novas regras/assinaturas sem interrupção de tráfego; Dashboard com no mínimo as informações: Filtragem por período da última hora, dia, semana e mês; Classificação do eventos por severidade e por período; Contadores dos eventos por Severidade, Protocolos, Assinaturas, IP de origem e IP de destino; Top 10 dos eventos; i. MÓDULO DE PROTEÇAO WEB - WEB APPLIACTION FIREWALL WAF Para fazer a proteção especifica de sites web. i. Deverá atuar diretamente na camada 7 (aplicação) do modelo OSI e ser capaz de interceptar todas as requisições do cliente e as respostas do servidor Web. Deverá ser capaz de detectar e bloquear ataques em HTTP, HTTPS, SOAP, XML-RPC, Web Service, entre outros. Deverá estar em conformidade com o PCI (Security Standards Council). ii. Deverá adotar o conceito de assinaturas de ataques com intuito de detectar ataques específicos e o conceito de anomalia de comportamento com intuito de detectar ataques através de tráfego anormal. Deverá adotar o conceito de Modo Positivo de aprendizado automatizado, capaz de identificar todos os conteúdos das aplicações, incluindo URLs, parâmetros URLs, campos de formulários, o que se espera de cada campo (tipo de dado, tamanho de caracteres, se é um campo obrigatório e ainda se é somente-leitura), cookies, arquivos XML, ações SOAP, e elementos XML; iii. Deverá proteger contra ataques de Crawling ; Todos os ataques detectados deverão ser logados em banco de dados. Esses logs serão analisados pela equipe de especialistas em ataques Web, da contratada, para que possa ser tomada a melhor medida de prevenção. Ao detectar tentativas de ataques, a contratada deverá adotar, de imediato, as medidas de combate ao ataque identificado. No caso dessas medidas implicarem em interrupções e/ou descaracterização dos serviços em uso, a contratada deverá entrar em contato com a contratante em no máximo, 2 (duas) horas, para expor o problema identificado, as possíveis ações a serem tomadas e as suas respectivas consequências e, eventualmente, obter a autorização para adotá-las. iv. O firewall de aplicação - WAF deverá trabalhar com certificados digitais permitindo: v. Possibilitar autenticação criptográfica mútua entre servidor e usuário; Possuir robustez contra ataque por tentativa de senhas (força bruta); Possibilitar a conexão com os sistemas operacionais Linux, Windows 98/2000/XP/Vista e Windows

11 SOFT/Edital/058/201 7;Deverá detectar as seguintes classes de ataques: Violações do protocolo HTTP; SQL Injection; vi. LDAP Injection; Cookie Tampering; Cross-Site Scripting (XSS); Buffer Overflow; OS Command Execution; Remote Code Inclusion; Server Side Includes (SSI) Injection; File disclosure; Information Leak; Scanners de vulnerabilidade Web e Crawlers; Worms e Web Shell Backdoors; Ausência de tratamento de erros do Webserver; j. MÓDULO DE ANÄLISE DE MALWARE DIRECIONADO - Para proteção contra APT (Advanced Persistent Threat), responsável por identificar ameaças por comportamento. i. Possuir função de análise estática. Possuir uma base de hash de arquivos legítimos e altamente conhecidos, permitindo que o administrador da ferramenta insira um novo hash na lista, com mecanismo para checar o hash do arquivo recebido, classificando o mesmo como bom em caso de identificação positiva. Possuir uma base de hash de arquivos maliciosos, permitindo checar hash de arquivo recebido e classificar como arquivo malicioso em caso de identificação positiva, emitindo um alerta contendo as informações do arquivo. Executar uma análise estática através de pelo menos 2 ferramentas de antivírus com nomeação do arquivo de acordo com a solução de antivírus que detectou a mesma. Possuir mecanismo para identificar algoritmos de defesa de malware, com pelo menos as seguintes técnicas: Anti-Debugging capaz de identificar arquivo que tenta se proteger de programas de debugging; Anti-Vmware capaz de identificar arquivo que tenta identificar que está em execução em uma máquina virtual, a fim de burlar uma análise dinâmica; Anti-Disassembly capaz de identificar arquivo que tenta se proteger de programas de engenharia reversa de código; Obfuscation capaz de identificar arquivo que tenta fazer uso de ofuscação de código para evitar a detecção por soluções de análise de malware; ii. Possuir função de analise dinâmica. Iniciar o modulo de análise dinâmica com prioridades distintas e definidas da seguinte forma: com alta prioridade de execução em caso de não identificação de anomalia durante processo de análise estática; com baixa prioridade de execução em caso de identificação de anomalia durante processo de análise estática. Emitir alerta em caso de identificação positiva, contendo as informações do arquivo e o mecanismo de identificação utilizado e alimentar a base de inteligência local e global com as informações de malware encontrados. A analise dinâmica deve fazer o uso de tecnologia sandbox para análise dinâmica, capaz de inicializar uma máquina virtual, enviar o arquivo a ser analisado pela mesma, e executar o arquivo a ser analisado. Deve fazer a analise dos seguintes tipos de arquivos: Arquivos PE32 (Executável),.doc (Word),.docx (Word),.xls (Excel),.xlsx (Excel),.pdf (com Adobe Acrobat Reader). Deve suportar a descompactação para posterior análise de arquivos compactados utilizando os mecanismos Zip e Rar. Os sistema operacionais para execução devem ser os seguintes: Microsoft Windows 7 Português,Microsoft Windows 7 - English Version,Microsoft Windows XP Português,Microsoft Windows XP Inglês. Para aplicações deve ser possível executar os seguintes aplicativos: Microsoft Word e Excel 2007 Português, Microsoft Word e Excel 2010 Português. Deve ser capaz de identificar comportamento malicioso do arquivo analisado, obter screenshot da tela durante a execução do arquivo, extrair as URLs que o arquivo tenta se conectar, Capacidade para identificar os endereços externos que o arquivo tenta se conectar, suportar plugins de simulação para burlar malware evasivos e permitir a análise dinâmica, como: plugin que simula movimento do mouse, plugin que simula clique do mouse e plugin que simula envio de dados de teclado. Deve alimentar o mecanismo de inteligência local e global com informações identificadas durante a análise com URL, IP e Hash do arquivo. Após analise ser capaz de emitir alerta quando acontecer identificação positiva de malware. iii. Possuir uma central de inteligência local com listas de arquivos bons e ruins. Deverá possuir lista de endereço IP malicioso para identificação de call-back e uma lista de URL maliciosa para identificação de conexão a botnet. Possuir uma central

12 SOFT/Edital/058/201 de inteligência global que recebe atualização de todos os clientes dos seguintes dados: hashs conhecidos, para alimentar base whitelist e blacklist, endereços de callback de botnets, URLs maliciosas. Ter capacidade de receber endereços de callback identificados como maliciosos de todos os clientes, URLs identificada dentre de arquivos maliciosos através das análises dinâmicas e hashs de arquivos maliciosos identificados de todos clientes. Deve enviar atualizações e melhorias do módulo para os clientes. iv. Deve possuir mecanismo de integração como os outros módulos apresentados e sistemas de terceiros. A solução deverá suportar recebimento de arquivos externos para análise utilizando o protocolo icap, recebimento de URL de ferramenta externa através de API própria e recebimento de endereço IP de ferramenta externa através de API própria. Deve enviar requisição para bloqueio de ataque para todos os módulos apresentados, de acordo com a funcionalidade de cada módulo. Para filtros de Url, as URLs envolvidas, para filtros de arquivos ou antivirus, HASH de arquivos maliciosos, para firewalls IPs maliciosos, para IPS assinaturas de eventos e IPs maliciosos, e assim por diante. Deve ter integração com o módulo de relatório e log. k. MÓDULO DE GERECIAMENTO CENTRALIZADO DE MULTIPLOS FIREWALL S UTM Responsável por gerenciar um conjunto de firewalls de modo padronizado, facilitando a gerência e diminuindo o tempo de resposta i. A solução de administração e gerência para os equipamentos tipo appliance, com recursos de firewall, detecção de intrusão (IDS) ou prevenção de intrusão (IPS), antivírus, anti-spyware, rede privada virtual (VPN) e filtro de sites (web) Internet, deverá ser composta por todos os recursos necessários, de forma a atender as características técnicas deste termo. Deverá suportar o protocolo SNMP para gerência, no mínimo nas versões 1 e 2, incluindo TRAPs para envio e notificação de alarmes e demais definições técnicas dos protocolos; Deverá possibilitar o acesso via interface WEB, nos modos http e https, ou ainda via interface GUI proprietária, para a configuração e administração remota; Interface gráfica (GUI) com total capacidade de administração sobre o equipamento; incluindo programação de tarefas. Interface para diagnóstico e monitoração; Interface para a realização de backup/export das configurações do equipamento; Possuir mecanismo que permita a realização de cópias de segurança (backups) e restauração remota, através da interface gráfica, sem necessidade do reinício; Deve permitir o gerenciamento centralizado das regras de filtragem de pacotes do firewall; Deverá permitir o gerenciamento remoto por HTTPS e VPN IPSec ou ainda GUI. Deverá possuir administração remota opcional por terminal via protocolo SSH. Deverá possuir mecanismo de auto-update, ou ainda permitir o agendamento da atualização; Deverá permitir a atualização dos dispositivos gerenciados de forma centralizada ou ainda permitir o agendamento da atualização; Suportar o rollback (voltar para a versão anterior) de patches aplicados; Deverá ser administrado através de software com interface WEB (http e https) ou interface GUI, capaz de fornecer relatórios gráficos dos serviços e atividades de rede, além de dados históricos e em tempo real oferecendo uma visão das ocorrências de rede; Deverá ser fornecido com o usuário e senha do administrador do equipamento, com direitos de super usuário ou root; Deverá permitir granularidade de privilégios para o administrador (acesso total) e operadores com acesso restrito (read-only); Deve possuir recursos de auto monitoramento, alertas e automanutenção de todas as tarefas corriqueiras de administração de serviços que deverão ser realizadas automaticamente pelo equipamento, onde o mesmo deverá monitorar o espaço em disco ou memória flash, fazer limpeza de arquivos de log, fazer o acerto do relógio (NTP Client), o equipamento deve monitorar em tempo real e mandar alertas caso problemas forem detectados para que possibilite a manutenção preventiva do mesmo; O tráfego entre os equipamentos de gerenciáveis e o gerenciamento,

13 SOFT/Edital/058/201 quando for o caso, deve ser criptografado, de modo a proteger as informações enviadas pelos equipamentos remotos para a gerência; Deverá possuir a capacidade para direcionar o tráfego de log local, disponibilizado via interface web ou interface GUI, para um servidor Syslog; Permitir o agrupamento das regras de filtragem por política; ii. Deverá manter arquivos de configuração antigos e permitir rollback para um determinado commit de configuração selecionado; Deverá possuir a capacidade de replicar as políticas a todos os equipamentos por ele gerenciados; Deverá permitir criar grupos de objetos gerenciados e permitir vincula-los a quantos grupos de políticas (regras) forem necessários; Deverá permitir criar entidades de IP/REDES genéricas que são interpretadas automaticamente como LAN, WAN, DMZ em cada localidade/política que será utilizada; Deverá permitir criar grupos de entidades de IP/REDES e Protocolos UDP/TCP/IP; Deverá possuir dashboard para visualização de status dos equipamentos por ele gerenciados: Estado operacional dos equipamentos; iii. Utilização de cpu e de memória ram; Taxa de ocupação de espaço em disco, se os equipamentos dispuserem deste recurso; Deverá possuir a visualização de log em tempo real de tráfegos de rede; Deverá permitir a visualização de logs de histórico dos acessos de tráfegos de rede; Deverá permitir a visualização dos eventos de auditoria; A solução de administração e gerência deverá permitir a geração de relatórios para todos os equipamentos remotos (gateways) ou ainda seletivamente, com no mínimo as seguintes características: Deverá ser possível enviar por FTP todos os relatórios gerados pelo gerenciamento; Deverá ser possível a visualização dos registros de logs gerados pelas unidades remotas de todos os serviços disponíveis em cada equipamento, como: firewall, detecção de intrusão (IDS) ou prevenção de intrusão (IPS), antivírus, anti-spyware, rede privada virtual (VPN) e filtro de sites Internet Web; Deverá ser possível gerar relatórios que extraíam as informações sobre o processamento nos equipamentos remotos (gateways) e seus usuários, como: serviços mais ativos na rede; atividade web detalhando URL s mais visitadas; os sites mais visitados; atividade de correio (SMTP) e de transferência de arquivos (FTP); os usuários que utilizaram a rede, detalhando o tráfego individual de cada usuário, quando estes estiverem autenticados; e outros relatórios relativos aos serviços suportados pelos equipamentos; Deve permitir a instalação em servidores e em sistemas de virtualização como VMware, Xen, Oracle VM VirtualBox ou Microsoft Hyper-V. l. MÓDULO DE SUPORTE AVANÇADO Funcionalidades adicionais para robustecimento responsável por gerenciar um conjunto de firewalls de modo padronizado, facilitando a gerência e diminuindo o tempo de resposta i. Suporte ao Next Generation Firewall Liberação e bloqueio de conexões e aplicativos através de análise DPI (Deep Packet Inspection) de Layer 7 utilizando aplicações cadastradas para aplicações de Firewall. Fornecimento das assinaturas de aplicações e possibilidade de adição das mesmas manualmente em caso de necessidade. ii. Integração com placa de criptografia capaz de suportar algoritmos de estado brasileiro. A mesma deve ser homologada pelo governo brasileiro com algoritmo implementado em Hardware. Deve ser capaz de atuar nas aplicações onde a mesma se faz necessária, seja na camada de rede ou na camada de aplicação; iii. Filtro de reputação de que considera para o cálculo os dados do corpo da mensagem, origem da mensagem, registros DNS, listas RBL e outras fontes pertinentes, gerando uma pontuação para o mesmo. Deve ser aplicado nos sistemas de transmissão e recepção de s;

14 SOFT/Edital/058/ Cronograma físico-financeiro com recebimento/ investimento em até 0(quatro) parcelas vinculadas a conclusão das etapas 3 DA PROPRIEDADE INTELECTUAL A habilitação condiciona os proponentes de que a SOFTEX poderá tanto comercializar os produtos gerados no presente edital quanto apontar empresa especificamente para este fim, que será objeto de acordo de distribuição e propriedade em objeto aparte. Neste objeto contratual de distribuição, ainda a ser negociado entre a SOFTEX e os proponentes escolhidos neste certame, os mesmos, em caso de aceite do contrato de distribuição e de suas condições futuras declaram que: a) A qualquer momento o SOFTEX ou a empresa designada especificamente para este fim, poderá ter acesso irrestrito ao código fonte para fins de auditoria; b) Em caso de violação do acordo de distribuição por uma das partes que venha a causar o rompimento do acordo, a proponente deverá garantir a SOFTEX a coautoria, transferindo metodologia, e produtos gerados, assim como todos os materiais construídos a partir do programa/projeto do objeto deste certame, a título universal, mediante ratificação em termos gerais e singulares (Anexo I), para garantir a continuidade das ações em projetos futuros, diante da natureza jurídica da modalidade contratual demandada. Em caso de desistência do proponente escolhido em não assinar o contrato de distribuição, o mesmo será desclassificado e dispensado de qualquer obrigação descrita neste certame. PROCEDIMENTOS.1 Apresentação das Propostas.1.1 As propostas devem ser impressas em papel A e entregues à SOFTEX, até às 18:00h (dezoito horas) do dia 05/01/2015, horário de Brasília, em envelope fechado no seguinte endereço: Associação para Promoção da Excelência do Software Brasileiro SOFTEX Rua Irmã Serafina, 863 6º andar Centro Campinas SP Cep: O envelope deve mencionar ainda o número da Chamada/ Empresas LMS e os dados do Proponente. O envelope entregue deverá conter em seu interior 2 envelopes independentes e igualmente lacrados, com etiquetas de identificação também contendo o número da Chamada/ Epresas LMS e o nome do Proponente, e ainda a identificação Envelope 1, e Envelope 2, respectivamente, com o seguinte padrão de apresentação: Envelope 1 - deve conter os requisitos relativos ao proponente, orientando-se nos termos do item 2.1 e seguintes desta Chamada; Envelope 2 - deve conter os requisitos da Proposta orientando-se nos termos do item 2.2 e seguintes desta Chamada;.1.3 Para as propostas encaminhadas pelos Correios, serão aceitas aquelas que tiverem sido comprovadamente recebidas na Softex, até a data limite estabelecida nesta Chamada. Não serão aceitas propostas submetidas por qualquer outro meio. Após o prazo final para recebimento das propostas, nenhuma outra será aceita, operando-se a preclusão na participação ao certame..1. O recolhimento de quaisquer impostos é de exclusiva responsabilidade da contratada, bem como o cadastramento junto ao CENE, site para cadastro da empresa e informações complementares sobre a retenção do ISS em Campinas. O documento fiscal deve ser do mesmo fornecedor que apresentou a proposta.

15 .2 Critérios para Avaliação das propostas SOFT/Edital/058/201 O Julgamento das propostas serão realizados nos termos desta chamada e em conformidade análoga a Lei 8666/93 e demais normas nacionais cabentes a matéria..3 Processo de Seleção A seleção das propostas será realizada pelo Comitê Especial instaurado para referido fim, que seguirá o seguinte cronograma para aferição, avaliação e julgamento:.3.1 Enquadramento Abertura de todos os envelopes com propostas encaminhadas tempestivamente. Abertura envelope 1 - Inicialmente, serão abertos os Envelopes 1 de cada proposta pela administração SOFTEX para análise e avaliação da documentação encaminhada, verificando sua conformidade aos requisitos exigidos para habilitação e participação na presente Chamada, o qual será encaminhado pré-apuração para apreciação, novas considerações e formal aceite do Comitê. Casos de não-conformidade levarão à desclassificação da proposta, impondo a não continuidade do proponente no certame, o que será registrado em Ata. Superada a ratificação dos proponentes habilitados ao certame, em ato continuo, serão abertos os Envelopes 2. Abertura envelope 2 - Serão abertos exclusivamente pelo Comitê os envelopes 2 das propostas habilitadas aos quesitos estabelecidos pela Chamada Publica, passando ao julgamento integral da proposta..3.2 Tipo licitatório para Julgamento das propostas - Para a seleção desta Chamada, a análise será feita com base nos critérios de melhor técnica e preço, conjugado a qualidade, funcionalidade, desempenho e demais quesitos relevantes e pertinentes em relação a técnica proposta. Cada proposta será avaliada e pontuada no quesitos e parâmetros deste certame, resumidos no quadro abaixo: CRITÉRIO TÉCNICO Melhor técnica e preço Avaliação (pontuação aplicável: entre 0 à 5) 1. Cronograma detalhado de execução, Avaliação subjetiva, atribuindo pontuação entre 0 e 5 contemplando a proposta de metodologia que para cada item poderá ser aprimorada junto a SOFTEX enunciados no item 2.2.1, alínea a 2. Plano de Trabalho elencando as ações/fases e/ou etapas para consecução dos resultados enunciados no item 2.2.1, alínea b Avaliação subjetiva, atribuindo pontuação entre 0 e 5 para cada item. 3. Análise geral da proposta As propostas serão então categorizadas em razoáveis, boas e dentro da expectativa, recebendo respectivamente a pontuação 1, 3 e 5;. Avaliação técnica e de preço Avaliação melhor preço (entendimento TCU - não o menor, mas o melhor preço em relação aos termos da proposta), recebendo respectivamente a pontuação 1, 3 e 5; 5. Documento de requisitos dos módulos descritos 6. MÓDULO DE ANTIVIRUS INTEGRADO operacional Avaliação subjetiva, atribuindo pontuação entre 0 e 5 para cada item. Pontuação 0 Não possui 7. MÓDULO DE SIEM operacional Pontuação 1 Não possui

16 SOFT/Edital/058/ MÓDULO FIREWALL UTM operacional Pontuação 2 Não possui 9 MÓDULO DE ANTISPAM operacional Pontuação 0 Não possui 10. MÓDULO CENTRALIZADOR DE LOG, GERADOR DE RELATÓRIOS E MONITORAMENTO operacional Pontuação 0 Não possui 11. MÓDULO IPS/IDS operacional Pontuação 0 Não possui 12. MÓDULO DE PROTEÇAO WEB - WEB APPLIACTION FIREWALL WAF operacional 13. MÓDULO DE ANÄLISE DE MALWARE DIRECIONADO operacional 1. MÓDULO DE GERECIAMENTO CENTRALIZADO DE MULTIPLOS FIREWALL S UTM operacional MÓDULO DE SUPORTE AVANÇADO operacional Pontuação 0 Não possui Pontuação 0 Não possui Pontuação 0 Não possui Pontuação 1 Não possui.3.3 Ata de Reunião do Comitê Especial - Após a conclusão dos trabalhos de julgamento, o Comitê elaborará uma Ata de Reunião, contendo a relação das propostas julgadas, recomendadas e não recomendadas, com as respectivas pontuações, em ordem decrescente, assim como o registro de informações, considerações e recomendações que julgar pertinentes. A Ata será assinada por todos os integrantes do Comitê Especial e encaminhada para apreciação da Diretoria Softex. É facultado ao Comitê, caso entenda necessário, em qualquer fase da licitação, a promoção de diligência destinada a esclarecer ou a complementar a instrução do processo, nos termos do artigo 3, 3 o da Lei 8666/ Deliberação e Homologação - Todas as propostas avaliadas pelo Comitê, Ata e eventuais outros documentos que perfazem o certame, serão encaminhados e submetidos à apreciação da Diretoria da Softex, que deliberará decisão final sobre o julgamento do Comitê Especial, determinando ou não a homologação de referidos termos, observados os limites orçamentários desta Chamada..3.5 Adjudicação - Por ato da Diretoria Softex, será encaminhada Carta de Adjudicação ao proponente vencedor do certame que em ato continuo, firmará o competente Contrato para a Prestação de Serviços contemplando o Objeto e objetivos desta Chamada..3.6 Divulgação dos Resultados - Todos os proponentes da presente Chamada tomarão conhecimento do parecer sobre a sua proposta por intermédio de correspondência a ser expedida pela Softex, preservada a identificação dos integrantes do Comitê.

17 SOFT/Edital/058/ Contratação O(s) proponente(s) que tenha(m) uma proposta aprovada, será(ão) chamado(s) a assinar Instrumento Contratual. 5 - REVOGAÇÃO OU ANULAÇÃO DA CHAMADA 5.1 Em se constatando propostas idênticas, todas serão desclassificadas. 5.2 A qualquer tempo, a presente Chamada poderá ser revogada ou anulada, no todo ou em parte, seja por decisão unilateral da Diretoria da SOFTEX, seja por motivo de interesse público ou exigência legal, sem que isso implique ou gere direitos à reparação ou indenização; vinculação ao objeto do certame, tampouco procedimentos extra ou judiciais de qualquer natureza. 6 - DISPOSIÇÕES GERAIS 6.1 A presente Chamada contempla a elaboração e planejamento das ações pertinentes ao Objeto e Objetivos nela elencados, bem como sua efetiva execução. 6.2 O encaminhamento de proposta vincula o proponente aos termos da Chamada, salvo ocorrência das previsões contidas no item 5 supra. 6.3 Esclarecimentos e informações adicionais sobre conteúdo desta Chamada poderão ser fornecidos por intermédio da Sra. Ana Beatriz Pires Gerente de Projetos Especiais (gestora.projetos@nac.softex.br) 6. A composição do Comitê Especial para avaliação das propostas recebidas, será divulgado no endereço eletrônico Contudo, reserva-se a Softex no direito de eventual alteração na composição, em caso de impossibilidade de quaisquer dos indicados, o que será igualmente publicado. 6.5 É de exclusiva responsabilidade de cada proponente adotar todas as providências que envolvam permissões e/ou autorizações especiais de caráter ético ou legal, necessárias para a habilitação a presente Chamada, sendo inclusive vetado a juntada de protocolos comprobatórios de requerimentos de certidões na composição dos envelopes, entre outros. 6.6 A presente Chamada regula-se pelos preceitos de direito público e, em especial, pelas disposições da Lei nº 9790/99; Regulamento de Compras da Softex, que pode ser consultado no site da sociedade em sob o item de menu A Softex \ Documentos Institucionais e demais normas nacionais vigentes. 7 - CLÁUSULA DE RESERVA A Diretoria da Softex reserva-se ao direito de resolver os casos omissos e as situações não previstas na presente Chamada. Campinas, 02 de dezembro de 201. Ney Gilberto Leal Vice Presidente Executivo

18 ANEXO I SOFT/Edital/058/201 Termo de Cessão de Propriedade Intelectual 1 Todos os direitos de propriedade intelectual e industrial relativos a sistemas e ferramentas informatizadas, softwares, metodologia, artefatos e demais trabalhos que já componham propriedade da CONTRATADA, manter-se-ão a mesma reservados; 2 A SOFTEX se compromete a cooperar com a CONTRATADA em todas as medidas necessárias para o reconhecimento e proteção dos direitos de propriedade intelectual da mesma sobre o conteúdo mencionado no item 1 supra, que seja disponibilizado a SOFTEX. 3 Obriga-se e Declara a CONTRATADA pela própria natureza deste Instrumento Contratual, que cede e transfere de forma integralmente gratuita, ou seja, sem qualquer remuneração adicional além do convencionado pelo SERVIÇO Cláusula Terceira do preço, a título Universal e definitiva, a coautoria dos direitos autorais patrimoniais sobre os resultados deste Contrato, inclusive ensaios ou inovações metodológicas em análise ou pesquisa. Parágrafo primeiro: Em se tratando de produção/material digital, a cessão inclui os sistemas e ferramentas informatizadas, softwares, metodologia, artefatos, imagens, templates, animações, relatórios e demais trabalhos criados ou desenvolvidos através desse contrato e usados na gestão e execução dos serviços objeto deste Contrato, nos moldes do artigo 9 da Lei nº 9.610/98. Parágrafo segundo: Em se aplicando o parágrafo primeiro supra ao Contrato, a CONTRATADA igualmente cede e transfere a SOFTEX as imagens fonte/código fonte (fontes utilizadas), imagens vetoriais e em havendo o código fonte HPML, ou outros tecnologicamente inseridos ou ainda, que venham a substituir os existentes. A título do exercício do Direito ora cedido e transferido, poderá a SOFTEX inclusive, ceder, transferir e disponibilizar a quem for segundo seus critérios; no todo ou em parte, a título gratuito ou oneroso; os estudos/resultados objeto do SERVIÇO ora contratado, além de lhe ser facultada a inclusão dos mesmos nos meios de publicação escrito/digital/portal que melhor assista seus interesses, sem necessidade de autorização, indenização ou qualquer outro tipo de remuneração/pagamento para a CONTRATADA, diante da própria natureza deste Instrumento. 5 Constituem direitos transferidos todos aqueles inerentes ao direito autoral, com todas as suas características diretas e indiretas, somadas a estas as conseqüências que possam advir da reprodução, divulgação e outras formas de veiculação pública do resultado dos SERVIÇOS adquirido neste ato. 6 A obrigatoriedade e declaração da cessão são firmadas em definitivo e produz efeitos por todo o território nacional e internacional. 7 São reservados e garantidos à CONTRATADA os direitos morais e personalíssimos dos resultados dos SERVIÇOS ora cedidos, na forma do art. 2 da Lei 9.610/98, com exceção do inciso I, que renuncia expressamente, em caráter irrevogável e irretratável. 8 Fica a SOFTEX investida de todos os poderes necessários para a mais ampla defesa dos direitos remanescentes ao Autor, a qualquer tempo, caso este não queira exercê-los quando necessário, bem como atualizar, remodelar e reeditar as informações objeto dos SERVIÇOS ora cedidos; 9 O não-exercício pela SOFTEX de quaisquer direitos ou faculdades que lhe sejam conferidos por este contrato ou por lei, bem como a eventual tolerância a infrações a este instrumento, não importará em renúncia a qualquer de seus direitos, novação ou alteração de cláusulas deste instrumento, podendo, a seu exclusivo critério, exercê-los a qualquer momento; 10 A obrigação e declaração de ceder nos moldes desta cláusula, são praticados em caráter perpétuo, não se operando, portanto, o prazo da Lei 9.610/98;

19 SOFT/Edital/058/201