((TITULO))ATA DA CONSULTA PÚBLICA N.º 04/2012 PERGUNTAS E RESPOSTAS REGISTRO DE PREÇOS PARA AQUISIÇÃO DE FIREWALL APPLIANCE com SERVIÇOS DE SUPORTE, ASSISTÊNCIA TÉCNICA E TREINAMENTO ((TEXTO))Aos 26 (vinte e seis) dias do mês de junho de 2012, a Gerência de Compras e Contratações GFC da Empresa de Tecnologia da Informação e Comunicação do Município de São Paulo PRODAM SP S/A, faz publicar as respostas aos questionamentos e sugestões apresentados para o processo referenciado, pelas empresas: ((NG))TELEFÔNICA / VIVO((CL)) 2.1.6.1. O equipamento deverá possuir certificação VPNC Basic Interop; Gostaríamos de entender qual a razão desta certificação em especifico, pois no mercado a outras certificação como a ICSA Labs IPSec (www.icsalabs.com) a inclusão de mais certificações de aumenta a competitividade deste certame. Sugerimos o seguinte texto : O equipamento devera possuir certificac ão VPNC Basic Interop e ou ICSA Labs IPSec. O item será revisto. 2.1.1 TIPO DE FIREWALL: Firewall appliance (hardware), baseado na tecnologia Stateful Inspection, com funcionalidade de operação em modo de Alta Disponibilidade. Todos os 3 tipos de Firewall têm este texto. Solicitamos a definição de Alta disponibilidade neste certame, pois este conceito é muito amplo dependendo da aplicação. Como por exemplo: Alta disponibilidade utilizando hot e stand by ou Alta disponibilidade utilizando balanceamento, a quantidade de equipamento especificada no Certame já contempla este dualidade ou as quantidades deverão ser dobradas? 2.1.1 Conforme especificado nos itens 2.1.24, 2.2.24 e 2.3.15 Deverá possuir a função de TOLERÂNCIA A FALHAS (Alta Disponibilidade, no modo Ativo/Passivo e/ou Ativo/Ativo) entre equipamentos do mesmo modelo, de forma a garantir que, se um dos firewalls parar de funcionar, o outro deverá assumir automaticamente, suportando todo o tráfego. Documento1 1/6
As quantidades especificadas já contemplam a utilização em modo de Tolerância a Falhas, quando necessárias. ((NG))AUDITEM COM. E LOCAÇÃO DE MAQUINAS PARA ESCRITÓRIO((CL)) 1. SUGERIR O TEXTO DO PARÁGRAFO REPRODUZIDO ABAIXO CONFORME CONSTA NO ANEXO I TERMO DE REFERENCIA, ITENS 2.1.6 e 2.2.6. Deverá suportar a criação de túneis VPN (Virtual Private Network) Site to Site e Clientto Site sobre os protocolos PPTP e IPSec. Deverão ser inclusas gratuitamente no mínimo 20 licenças para VPN Clientto Site e dez licenças Site to Site. O equipamento deverá possuir certificação VPNC Basic Interop; Para os subitens descritos abaixo: 2.1.6.1 e 2.2.6.1O equipamento deverá possuir certificação VPNC Basic Interop; Certificações não podem ser exigidas como itens indispensáveis a serem provados por licitantes, pois falta expressa autorização legal para tanto. Como é sabido, a Administração Pública está vinculada ao princípio da legalidade, e nesta esfera o conteúdo jurídico do princípio da legalidade implica que o agente público somente pode fazer o que a lei expressamente autoriza. As certificações em geral somente podem ser utilizadas como elementos de pontuação, nunca como itens de cumprimento obrigatório, a não serem as certificações expressamente impostas pela lei, tais como as certificações ANATEL, INMETRO, ANVISA etc. e somente para os produtos indicados nas respectivas normas. Neste contexto, vale destacar que o TCU vem julgando ilegal a exigência de certificação ISO para habilitação, ou seja, como item obrigatório para a participação em processos licitatório, nos seguintes termos: TCU Decisão 1526/2002 Plenário: 8.2. determinar à Eletrobrás Termonuclear S/A Eletronuclear que: 8.2.1. nos futuros certames licitatórios abstenha se de exigir Certificados da série ISO 9000 como item de inabilitação dos participantes, devendo, para a habilitação técnica, os requisitos técnicos serem especificados de acordo com as normas da CNEN, de modo a comprovar a capacidade de produzir bens e serviços que atendam às normas de segurança exigidas para o tipo de atividade desenvolvida, as quais devem ser de inteiro conhecimento da própria Eletronuclear, buscando se a qualidade real do produto, não certificações que podem auxiliar a garantir essa qualidade, mas não garantem que outros que não a possuem não tenham a capacidade para atender ao interesse público, sob pena de comprometer o caráter competitivo do procedimento; (...) (destaques nossos) *** TCU Decisão 152/2000 Plenário: 8.1 conhecer da presente Representação, formulada pela empresa CompuAdd do Brasil Importadora e Distribuidora Ltda., nos termos do art. 113, 1º, da Lei n. 8.666/93, para considerá la procedente; (...) Documento1 2/6
8.2.1 abster se de exigir Certificados da série ISO 9000, por frustrar o caráter competitivo da licitação; publicar as alterações contratuais, quando houver; e observar as regras editalícias, em conformidade com o princípio da vinculação ao instrumento convocatório, consoante prescreve o art. 2º do referido Regulamento; O caso citado na decisão acima transcrita é o mesmo da presente licitação. A certificação aqui exigida para os produtos também não encontra amparo na legislação nacional para servir como item obrigatório. Por outro lado, é sabido que a jurisprudência dos tribunais pátrios têm constantemente afastado exigências como a agora impugnada não só pela ausência de autorização legal, mas também por se constituir em afronta à soberania do país. Cabe destacar que a certificação VPNC Basic Interop, além de estrangeira é também privada. Geralmente atribui se às certificações internacionais algum valor quando são emitidas por entidades públicas, porém, a VPNC Basic Interopé um consorcio de empresas privadas estrangeiras como as americanas Cisco e SonicWALL, que nem de perto podem ser consideradas como entidade pública. A Administração não pode delegar àsempresas estrangeirasas certificações de quais produtos possam ou não participar de processo licitatório brasileiro, isso ofende o princípio da soberania e da territorialidade, sendo, portanto, vedada a delegação para estrangeiros do direito de dizer quem participará ou não de certame licitatório no país. Uma empresa brasileira pode ter um produto de alta qualidade e confiabilidade, mas por questões de custos ou mesmo pela desnecessidade pode não pedir a certificação de seu produto por entidades estrangeiras, visto que seu mercado é basicamente o nacional. Isto não implica dizer que o produto da empresa não tem condições de obter a certificação, apenas indica que tal certificação não é necessária para o desenvolvimento do seu negócio. Por este motivo, o fato de uma empresa brasileira não ter determinada certificação estrangeira não quer dizer que a empresa ou seu produto não tenham as mesmas qualidades que as empresas ou produtos estrangeiros certificados, portanto esta certificação não agrega nada aos nossos processos licitatórios. Por outro lado, questiona se por que foi requerida a certificação VPNC Basic Interop, porque não uma certificação israelense, ou alemã, ou inglesa, ou qualquer outra europeia? O presente item editalício está prestigiando as empresas e produtos americanos em detrimento dos demais produtos produzidos fora dos EUA, pois sem dúvidas é muito mais barato e viável para as empresas americanas conseguirem a certificação junto a esta empresa que também é americana do que para as demais empresas, em especial para as empresas fora do eixo EUA UE. Em conclusão, como presente certame visa à aquisição de produtos caros e específicos, através de uma modalidade licitatória baseada em pregão eletrônico, essa exigência, caso seja do entendimento da equipe técnica, somente poderia, em tese, ser mantida se o modelo licitatório fosse técnica e preço e a solicitação fosse incluída nos itens pontuáveis, não podendo, sob hipótese alguma, constar como requisito obrigatório por tudo o que aqui foi exposto. Assim, considerando os fatos narrados no presente tópico, sugerimos se os subitens 2.1.6.1 e 2.2.6.1 podem ser lidos da seguinte maneira: O equipamento deverá possuir certificação VPNC Basic Interop ou atestado de capacidade técnica para VPNIPSec e PPTP; O item será revisto, permitindo as certificações VPNC Basic Interop e/ou ICSA Labs IPSec. Documento1 3/6
Os certificados de interoperabilidade foram solicitados para garantir que a funcionalidade VPN, contida nos Firewalls desejados, tenham interoperabilidade com outros sistemas IPSec, garantindo a possibilidade de fechamento de conexões seguras com entidades externas, por intermédio de equipamentos que não sejam idênticos aos oferecidos na ARP. Insurge a futura licitante contra a exigência contida nos itens 2.1.6.1 e 2.2.6.1 do Termo de Referência do Processo de Informação acima citado, alegando, em síntese, que os certificados VPNC não podem ser exigidos por falta de expressa autorização legal. Os Firewall solicitados tem a função de fechamento de conexão VPN. A função da conexão VPN é permitir o estabelecimento de um túnel virtual para que se forme uma conexão segura entre a PRODAM e outras entidades, utilizando para isso um par de equipamentos que possuam essa funcionalidade. A certificação VPNC Basic Interop ou o ICSA Labs IPSec definem que o equipamento esteja apto a estabelecer uma conexão VPN com qualquer equipamento que tenha conexão VPN disponível, não obrigando assim que esse segundo equipamento seja idêntico ao utilizado pela PRODAM. (grifamos) Se a Prodam adquirir equipamentos sem tais certificações, corre se o risco de adquirir equipamentos que não atendam essa necessidade, colocando em risco futuros projetos oferecidos pela empresa. Por fim, complementa que caso o equipamento ofertado pela empresa vencedora não possua os requisitos expostos, os futuros contratantes terão que orçar em seus projetos dois equipamentos para o pareamento da conexão. O Superior Tribunal de Justiça já decidiu que Não se comete violação ao art. 30, II, da Lei nº 8.666/93, quando, em procedimento licitatório, a Administração Pública edita ato visando a cercar se de garantias o contrato de prestação de serviços de grande vulto e de extremo interesse para os administrados.(grifamos) Tendo em vista o elevado montante dos valores objeto de futura contratação, é dever do administrador público realizar todas as etapas do processo seletivo do prestador de serviço com grande cautela, pautando se rigorosamente pelos preceitos legais aplicáveis, especialmente o art. 30, 1º, da Lei nº 8.666/93 e outros pertinentes. RMS nº 13.607/RJ, 1ª Turma. Relator: Ministro José Delgado, julgado em 02.05.2002, DJ de 10.06.2002. A certificação ora exigida visa resguardar os interesses da Administração Pública, garantindo que a futura contratada atenda a todos os requisitos necessários à satisfação dos interesses almejados com o objeto a ser licitado. Se assim não for, a Administração corre o risco de contratar uma empresa cujos equipamentos que não são capazes de estabelecer uma conexão VPN, o que obrigaria as entidades que contratam com a PRODAM possuir equipamento idêntico ao desta ou adquirir equipamentos para pareamento de conexão, o que gerará maior ônus a Administração. Portanto, em tratando de certificado pertinente ao objeto contratado, é possível manter se a exigência mencionada. 2. SUGERIR O TEXTO DO PARÁGRAFO REPRODUZIDO ABAIXO CONFORME CONSTA NO ANEXO I TERMO DE REFERENCIA, ITEM 2.3.9. Deverá permitir a configuração dos seguintes modos de operação: transparentmode, NAT mode e routingmode; A solicitação de modo de operação transparente mode para o serviço de firewall no item 2.3.9 onde estabelece, "Deverá permitir a configuração dos seguintes modos de operação: transparentmode,..." numa primeira análise poderia servir como brecha para ataques e invasões. Documento1 4/6
Além do que dispositivos gerenciados diretamente via HTTP exigem uma capacidade de processamento maior que a necessária para o gerenciamento através SNMP, ou protocolo especializado para administração remota. A mesma justificativa apresentada como uma facilidade para a administração da rede, se torna uma vilã, quando está se tratando de gerencia de soluções de segurança. Especificamente uma solução de firewall é instalada em posição estratégica na rede, todo o tráfego utiliza o firewall como caminho de passagem dos pacotes. Soluções como esta pressupõem gerência controlada e acesso restrito, ou seja, quanto menor for o número de pessoas com acesso ao dispositivo menor a probabilidade de indisponibilidade do ambiente como um todo. Uma solução que provê administração WEB pode trabalhar através de dois modos: HTTP e HTTPS. A utilização em HTTP traz portabilidade, mas também insegurança ao ambiente, uma vez que todo o tráfego é realizado em claro, sem uma criptografia adequada. Soluções baseadas em uma plataforma cliente/servidor possui algumas vantagens em relação à plataforma web quando o assunto em tela é segurança. Inicialmente a necessidade da instalação de um cliente dificulta o acesso indiscriminado ao dispositivo que provê segurança. Também pode se apontar a questão da comunicação entre o cliente e servidor que via de regra é cifrada com algoritmos de criptografia forte. Analisando os fatos em tela, pode se concluir que para soluções de segurança interface de gerência web é um furo na segurança da solução e do ambiente como um todo. Baseado no exposto, considerando os fatos narrados no presente tópico, gostaríamos de sugerir se o item pode ser entendido com o seguinte texto: Possibilitar o acesso via interface WEB, nos modos HTTP e HTTPS ou GUI (Graphical User Interface) utilizando meio de transporte com chave criptográfica na comunicação igual ou superior à 128 bits para configuração e administração remota, inclusive via interface WAN, com total capacidade de administração sobre o sistema; O item não poderá ser entendido dessa forma. Será mantido o texto original. GILMAR FRANCISCO FELIX DO PRADO Gerente de Compras e Contratações GFC Documento1 6/6