TERMO DE REFERÊNCIA PRESTAÇÃO DE SERVIÇO DE LICENCIAMENTO DE SOLUÇÃO DE ANTIVÍRUS COM ENGENHEIRO RESIDENTE
1. OBJETO Contratação de serviços de licenciamento de solução corporativa de antivírus, serviços de instalação, configuração e suporte técnico, atualização de versão, vacinas e listas de vírus, e serviço de Engenheiro residente, em horário comercial, para suportar a solução implantada e as demais licenças a serem contratadas, para todos os órgãos e entidades da Prefeitura da Cidade do Rio de Janeiro. 2. ESPECIFICAÇÕES TÉCNICAS MÍNIMAS 2.1. Solução Corporativa de Antivírus. Solução Unidade Qtde Licenças Unt. 32.000 Engenheiro Mensal 24 2.2. Características Gerais da Solução 2.2.1. A solução deve ser do tipo cliente/servidor, onde a parte servidora mantém todas as configurações definidas pelo administrador e a parte cliente busca ou recebe essas configurações do servidor. O software cliente é instalado em estações de trabalho e outros clientes, como tablets. O software de gerenciamento (parte servidora) é instalado em um ou mais servidores dedicados e dimensionados para esse fim, denominado, neste documento, de Servidores de Gerenciamento; 2.2.2. Permitir a instalação de Servidores de Gerenciamento adicionais, fornecendo assim a possibilidade de trabalho em redundância onde, no caso de falha de um dos servidores, o outro assume todas as funções da solução, sem provocar indisponibilidade para os endpoints; 2.2.3. Permitir a sincronização das configurações e dados entre os Servidores de Gerenciamento; 2
2.2.4. Permitir o gerenciamento de clientes, com no mínimo, os seguintes sistemas operacionais: Windows Server 2003, 32 e 64 bits; Windows Server 2008 e superior, 32 e 64 bits; Windows XP; Windows 7, 32 e 64 bits; Windows 8, 32 e 64 bits; MacOS Lion 10 e superior; ios 4 e superior; Android 2.2 e superior. 2.2.5. Permitir diferentes configurações de varredura em tempo real baseandose em processos de baixo ou alto risco, tornando assim o desempenho do produto mais estável; 2.2.6. Rastrear em tempo real dos processos em memória, para a captura de vírus que são executados em memória sem a necessidade de escrita de arquivo; 2.2.7. Permitir a instalação em máquinas virtuais do antivírus que integra-se com a console gerencial de endpoint e, que seja específico para ambientes virtuais, sem impor nenhuma restrição ao funcionamento e aos recursos e funcionalidades. Este deve ter como principal característica o desempenho do ambiente virtal e neutralização do storm de máquinas virtuais; 2.2.8. Exibir um único ícone na barra de ferramentas do sistema operacional do endpoint, devendo ser possível configurá-la para que nenhum ícone seja exibido; 2.2.9. A solução ofertada deverá utilizar um sistema gerenciador de banco de dados dedicado. O licenciamento referente a este SGBD deverá ser fornecido pela contratada; 2.2.10. Possibilitar o estabelecimento de alvos de políticas por filtros baseados em qualquer informação disponível sobre os clientes. Exemplos: configurações de sistema operacional, hardware, componentes, softwares e versões; 2.2.11. Clientes devem ser atualizados automaticamente nos grupos de políticas conforme a inclusão ou exclusão de clientes ou da mudança de suas configurações; 3
2.2.12. Implementar, na própria solução, código único para clientes, garantindo consistência para a base de dados mesmo com mudanças de hostname, endereço MAC da placa de rede, endereço IP ou outras informações nos clientes evitando a criação de registros duplicados; 2.2.13. Permitir forçar comunicação dos clientes a partir da console para atualizar as políticas e inventário; 2.2.14. Permitir a ativação e desativação do software cliente por meio da console de gerenciamento, sem necessidade de reinicialização do endpoint; 2.2.15. Permitir integração da solução com o Microsoft Active Directory, possibilitando, no mínimo, as seguintes tarefas: Importação e sincronização de usuários, computadores, sites, unidades organizacionais e grupos do AD; Permitir ao administrador criar agendamentos e definir horários ou frequência de importação; Permitir a importação e sincronização diferencial, ou seja, apenas dos dados que apresentarem modificações em relação à última sincronização realizada, mantendo a alteração mais recente; Permitir autenticação de usuários da solução e atribuir papéis na utilização da console de gerência. Aplicação de políticas baseadas em grupos de AD; Instalação automática do software cliente em computadores de grupos pré-definidos do AD que ainda não estejam sendo gerenciados. 2.2.16. Permitir agendamento de instalação, atualização e desinstalação do software cliente via políticas no servidor a partir da console de gerenciamento da solução, sem necessidade de reinício (boot) dos endpoints e de forma silenciosa, ou seja, sem interação com usuário; 2.2.17. Permitir flexibilidade para definição da frequência de comunicação cliente-servidor; 2.2.18. Controlar banda de rede utilizada pelo cliente na sua comunicação com o servidor utilizando: Configurações diferenciadas por faixa de horário. Permitir configurar exceções para políticas. O licenciamento da solução de antivirus fornecido deverá ser perpétuo. 4
2.2.19. Prover funcionalidade de envio de logs a servidor do tipo syslog. 2.2.20. Permitir a definição de política geral que se aplique aos usuários que não estejam conectados à rede gerenciada pela instituição, para no mínimo: 2.2.21. Prover capacidade de habilitar somente aplicativos homologados pela instituição, enquanto conectados à rede gerenciada; 2.2.22. Prover capacidade de separar a utilização dos aplicativos privados dos corporativos homologados. 2.2.23. Detectar programas maliciosos como spyware, programas de propaganda, ferramentas como password crackers, e outras com fins maliciosos. Programação de atualizações automáticas das listas de definições de vírus, a partir de local predefinido da rede, ou de site da Internet, com frequência (no mínimo diária) e horários definidos pelo administrador; Permitir atualização incremental da lista de definições de vírus; 2.2.24. Salvar automaticamente as listas de definições de vírus em local especificado na rede, após cada atualização bem-sucedida 2.2.25. Permitir programação de rastreamentos automáticos do sistema com a seguinte opção: Programação de atualizações automáticas das listas de definições de vírus, a partir de local predefinido da rede, ou de site da Internet, com freqüência (no mínimo diária) e horários definidos pelo administrador 2.2.26. Permitir atualização incremental da lista de definições de vírus; 2.2.27. Permitir programação de rastreamentos automáticos do sistema com as seguintes opções: Escopo: Todos os drives locais, drives específicos, ou pastas específicas; Ação: Somente alertas, limpar automaticamente, apagar automaticamente, renomear automaticamente, ou mover automaticamente para área de segurança (quarentena); Freqüência: Horária, diária, semanal, mensal; Exclusões: Pastas ou arquivos que não devem ser rastreados; Gerar registro (log) dos eventos de vírus em arquivo e local definido pelo usuário, com limite de tamanho opcional; Gerar notificações de eventos de vírus através de alerta na rede; 2.2.28. Permitir a instalação em ambientes em Cluster Microsoft; 5
2.2.29. Permitir bloqueio de aplicações pelo nome do arquivo; 2.2.30. Permitir bloqueio de portas; 2.2.31. Permitir criação de regras baseadas em processos de sistema; 2.2.32. Permitir o bloqueio de compartilhamentos da máquina em caso de epidemia; 2.2.33. Possuir proteção contra estouro de buffer; 2.2.34. Permitir detecção de cookies potencialmente indesejáveis no sistema; 2.2.35. O sistema de antispyware deve estar totalmente integrado ao software Antivírus utilizando a mesma biblioteca de definições de vírus e demais ameaças; 2.2.36. O sistema deve estar integrado ao console de gerenciamento de segurança de sistemas, que também gerencia antivírus antispyware, IPS de Host e Firewall desktop. Possibilitando uma única e simples interface para gerenciar toda uma solução de segurança. Não deve ser instalado nenhum software adicional a console de gerenciamento para permitir o controle integrado. 2.2.37. Possuir proteção contra BOTs ; 2.2.38. Funcionar tanto no ambiente corporativo como em VPN; 2.2.39. Possuir instalação silenciosa ; 2.2.40. Possuir gerenciamento centralizado; 2.2.41. Possibilitar a integração de políticas definidas pelo administrador com o usuário local; 2.2.42. Permitir instalação automática em máquinas novas na rede, via software de gerência; 2.3 Solução para estações de Trabalho 32 bits e 64 bits. (Antivírus, AntiSpyware, filtro web local, Controle de Dispositivos externos(usb) e IPS de Host) 2.3.1. Suportar as plataformas Windows XP, Windows Vista, Windows 7, Windows 8; 2.3.2. Suporte total a plataforma 64 bits; 2.3.3. Todas as funcionalidades deste item devem ser ativadas por agente único que facilita a instalação, a configuração e o gerenciamento. 2.3.4. Rastreamento em tempo real, para arquivos durante entrada e saída (gravação e leitura), com as seguintes opções: 6
Limpar arquivos automaticamente; Excluir arquivos Automaticamente; Negar Acesso aos Arquivos (quarentena); 2.3.5. Rastreamento manual com interface Windows, customizável, com opção de limpeza; 2.3.6. Permitir diferentes configurações de varredura em tempo real baseandose em processos de baixo ou alto risco, tornando assim o desempenho do produto mais estável; 2.3.7. Rastreamento em tempo real dos processos em memória, para a captura de vírus que são executados em memória sem a necessidade de escrita de arquivo; 2.3.8. Detecção de programas maliciosos como spyware, programas de propaganda, ferramentas como password crackers, etc... Programação de atualizações automáticas das listas de definições de vírus, a partir de local predefinido da rede, ou de site da Internet, com freqüência (no mínimo diária) e horários definidos pelo administrador; Permitir atualização incremental da lista de definições de vírus; 2.3.9. Salvar automaticamente as listas de definições de vírus em local especificado na rede, após cada atualização bem-sucedida; 2.3.10.Programação de rastreamentos automáticos do sistema com as seguintes opções: Escopo: Todos os drives locais, drives específicos, ou pastas específicas; Ação: Somente alertas, limpar automaticamente, apagar automaticamente, renomear automaticamente, ou mover automaticamente para área de segurança (quarentena); Freqüência: Horária, diária, semanal, mensal; Exclusões: Pastas ou arquivos que não devem ser rastreados; 2.3.11. Gerar registro (log) dos eventos de vírus em arquivo e local definido pelo usuário, com limite de tamanho opcional; 2.3.12. Gerar notificações de eventos de vírus através de alerta na rede; 2.3.13. Permitir a instalação em ambientes em Cluster Microsoft; 7
2.3.14. Permitir bloqueio de aplicações pelo nome do arquivo; 2.3.15.Permitir o bloqueio do compartilhamento caso uma ameaça seja detectada em uma pasta compartilhada; 2.3.16.Permitir o bloqueio de compartilhamentos da máquina em caso de epidemia; 2.3.17. Possuir proteção contra estouro de buffer; 2.3.18. Detecção de cookies potencialmente indesejáveis no sistema; 2.3.19. O sistema de antispyware deve estar integrado ao software antivírus utilizando a mesma biblioteca de definições de vírus e demais ameaças; 2.3.20. O sistema deve estar integrado ao console de gerenciamento de segurança de sistemas, que também gerencia antivírus antispyware, IPS de Host e Firewall desktop. Possibilitando uma única e simples interface para gerenciar toda uma solução de segurança. Não deve ser instalado nenhum software adicional a console de gerenciamento para permitir o controle integrado; 2.3.21. Oferecer proteção avançada de sistemas contra ameaças tais como ataques remotos de injeção de SQL ou HTTP; 2.3.22.Possuir proteção completa, pronta para operação e contra vulnerabilidades desconhecidas, tais como estouro de buffer (buffer overflow) e ataques de dia zero (zero-day attacks); 2.3.23. Possuir proteção contra BOTs ; 2.3.24.Capacidade de trabalhar no modo adaptativo se adaptando a novas aplicações instaladas na máquina; 2.3.25.Disponibilizar os seguintes relatórios na plataforma de gerência: sumário de eventos de IPS por assinatura, por alvo, por endereço IP origem, os 10 principais nós atacados, as 10 principais assinaturas, sumário das aplicações bloqueadas e update de quarentena. 2.3.26.Permitir o bloqueio de ataques baseados em Web como: Directory Traversal Attacks e Unicode Attacks; 2.3.27. Interceptar tráfego e requisições de HTTP após decriptação e decodificação; 2.3.28. Prevenir o roubo de informações de um servidor Web, ou mesmo que um hacker com privilégios de root possa manipular o servidor Web; 2.3.29. Permitir criação de política que somente permita tráfego de rede de saída da máquina depois que o cliente de IPS de Host estiver sendo executado; 8
2.3.30. Permitir o bloqueio de aplicações e os processos que a aplicação interage; 2.3.31. Capacidade de detectar e bloquear tentativas de invasão; 2.3.32. Possuir instalação silenciosa ; 2.3.33. Possuir gerenciamento centralizado; 2.3.34. Bloquear acessos indevidos que não estejam na tabela de políticas definidas pelo administrador; 2.3.35. Permitir monitoração de aplicações onde se pode determinar quais processos poderá ser executados ou não. 2.3.36. Permitir monitoração de Hooking de aplicações onde se podem determinar quais processos pode ser executado ou não. 2.3.37. Permitir criar regras de bloqueio/permissão utilizando protocolos ou aplicações; 2.3.38. Permitir configuração de regras por horários. 2.3.39. Possuir integração com a mesma ferramenta de gerência do antivírus; 2.3.40. Possibilitar a integração de políticas definidas pelo administrador com o usuário local; 2.3.41. Instalação automática em máquinas novas na rede, via software de gerência. 2.3.42. Possuir ferramenta para verificação de reputação de websites. 2.3.43. Possibilidade de configuração de bloqueio de acesso aos sites maliciosos pela console de gerenciamento. 2.3.44. Possibilidade de criar blacklists e whitelists de urls para estações pela console de gerenciamento. 2.3.45. A solução deve ser capaz de identificar sistemas gerenciados ou não pela console de gerenciamento; 2.3.46. A solução devera controlar dispositivos removíveis permitindo o gerenciamento dos mesmos pela mesma console de administração de toda solução. 2.3.47. Controlar o modo como os usuários copiam dados em drives USB, ipods, CDs regraváveis e DVDs, disquetes, dispositivos Bluetooth e IrDA, dispositivos de leitura de imagens, portas COM e LPT e outros. 2.3.48. Especificar quais dispositivos podem ou não ser usados por qualquer parâmetro de dispositivo, inclusive códigos de produtos, códigos de fornecedor, números de série, classes de dispositivos, nomes de dispositivos. 9
2.3.49. Coletar dados de incidentes tais como dispositivo, data/hora, evidências de dados e outros, para reação, investigação e auditoria. 2.3.50. Permitir regra de reação para unidades de mídia removível (ex.: pendrive) com as opções de bloqueio total, somente leitura e monitoramento. 2.3.51. Monitorar automaticamente o uso e bloquear todas as tentativas de uso dos dispositivos ou transferência de dados contrários às políticas definidas. Integração com estrutura de Active Directory para criação de regras baseadas em usuários ou grupos de usuários. 2.4 Dispositivos móveis 2.4.1. A solução deve ser gerenciada pela mesma console de gerenciamento de toda a solução endpoint; 2.4.2. Permitir o gerenciamento dos seguintes sistemas operacionais de dispositivos móveis: Apple IOS 4.1 ou superior Android 2.2 ou superior Windows Phone 2.4.3. Possuir um sistema de catálogo de dispositivos permitindo manter o sistema atualizado com os lançamentos de novos dispositivos e sistemas operacionais sem a necessidade de reinstalação do servidor; 2.4.4. Possuir checagem de vírus; 2.4.5. Oferecer um sistema de auto-provisionamento baseado em aplicação disponibilizada na Apple Application Store, Google Android Market ou através de portal hospedado internamente; 2.4.6. Criação de políticas diferenciadas para grupos de usuários com as seguintes características: 2.4.7. Controle de dispositivos que não suportem criptografia; 2.4.8. Bloqueio de dispositivos rooted ou jail-broken, dispositivos alterados pelo usuário que podem comprometer a segurança dos dados; 2.4.8. Seleção de Versão Mínima de Sistema Operacional aceita para instalação da ferramenta de forma diferenciada para diferentes tipos de hardware, EX.: iphone, ipad, ipod; Criação de Política de Senhas com as seguintes opções: Tamanho mínimo da senha; 10
Uso de caracteres especiais; Tempo de Inatividade do Dispositivo; Histórico de senhas; Tempo de Expiração da Senha; Número de tentativas antes de apagar o dispositivo; Bloqueio Seletivo de Recursos do Telefone; Restringir conteúdo Explicito; Controle de sincronização com serviço de nuvem; YouTube; Provisionamento de Certificados Digitais; Camera; Captura de Tela; Sincronismo Automático em Roaming; Blacklist de Aplicativos, removendo provisionamento do sistema caso um aplicativo não autorizado seja instalado; Browser; 2.4.9. Criação de configurações de VPN: L2TP, PPTP, IPSEC, F5 SSL, CISCO any connect e Juniper SSL; 2.4.10. Permitir o bloqueio remoto do dispositivo; 2.4.11. Permitir o apagamento remoto wipe do dispositivo; 2.4.12. Permitir exclusão do perfil de e-mail e usuário sem afetar as demais informações do dispositivo; 2.4.13. Possuir sistema de antivírus integrado para plataforma Android; 2.4.14. Permitir a instalação de aplicativos desenvolvidos internamente para os dispositivos móveis através da console de gerenciamento; 2.4.15.Possuir portal de auto-serviço, onde o usuário poderá realizar operações de provisionamento de dispositivo, limpeza remota em caso de perda (wipe), atualização de configuração e consultar aplicativos recomendados; 2.4.16.Permitir a publicação de links para aplicações recomendadas que estejam publicadas na Apple Application Store ou Google Android Market; 2.4.17. Permitir detectar os aplicativos que estão instalados nos dispositivos móveis e exibí-los na console de gerenciamento; 2.4.18. Deve ser capaz de se integrar com estruturas PKI existentes; 11
2.4.19. Possuir perfis de política diferenciados para administração de dispositivos corporativos e particulares; 2.4.20. Suporte, em dispositivos móveis, a diferentes serviços de e-mail, incluindo, no mínimo, Microsoft Exchange (Active Sync) e Lotus Domino (Traveller); 2.4.21. Capacidade de se integrar com certificados digitais padrão X-509 em dispositivos móveis; 2.4.22. Capacidade de coletar e enviar relatórios de uso e conformidade de dispositivos móveis; 2.5 Console de Gerenciamento 2.5.1. Suporte a instalação em um servidor nas plataformas, Windows Server 2008 (Com Service Pack 2 ou superior) 32 e 64 bits, Windows 2008 Server R2, Windows 2012 Server, Windows 2012 Server R2; 2.5.2. Suporte a instalação em cluster Microsoft; 2.5.3. Permitir o gerenciamento do servidor através do protocolo TCP/IP e HTTP; 2.5.4. Permitir a instalação dos Módulos da Solução a partir de um único servidor; 2.5.5. Permitir a alteração das configurações Módulos da Solução nos clientes de maneira remota; 2.5.6. Possuir a integração com o gerenciamento da solução de segurança de estações de trabalho e servidores, do mesmo fabricante, a fim de prover uma única console de gerenciamento centralizado de todas as soluções de segurança que possam ser utilizadas pela CONTRATANTE; 2.5.7. Permitir a atualização incremental da lista de definições de vírus nos clientes, a partir de um único ponto da rede local; 2.5.8. Visualização das características básicas de hardware das máquinas; 2.5.9. Integração e Importação automática da estrutura de domínios do Active Directory já existentes na rede local; 12
2.5.10. Permitir a criação de tarefas de atualização, verificação de vírus e upgrades em períodos de tempo pré-determinados, na inicialização do Sistema Operacional ou no Logon na rede; 2.5.11.Permitir o armazenamento das informações coletadas nos clientes em um banco de dados centralizado; 2.5.12. Permitir diferentes níveis de administração do servidor, de maneira independente do login da rede; 2.5.13. Suporte a múltiplos usuários, com diferentes níveis de acesso e permissões aos produtos gerenciados; 2.5.14. Criação de grupos de máquinas baseadas em regras definidas em função do número IP do cliente; 2.5.15. Permitir a criação de grupos virtuais através de TAGs ; 2.5.16. Permitir aplicar as TAGs nos sistemas por vários critérios incluindo: produtos instalados, versão de sistema operacional, quantidade de memória, etc; 2.5.17. Forçar a configuração determinada no servidor para os clientes; 2.5.18. Caso o cliente altere a configuração, a mesma deverá retornar ao padrão estabelecido no servidor, quando a mesma for verificada pelo agente; 2.5.19. A comunicação entre as máquinas clientes e o servidor de gerenciamento deve ser segura usando protocolo de autenticação HTTPS; 2.5.20. Forçar a instalação dos Módulos da Solução nos clientes; 2.5.21. Caso o cliente desinstale os Módulos da Solução, os mesmos deverão ser reinstalados, quando o agente verificar o ocorrido; 2.5.22. Customização dos relatórios gráficos gerados; 2.5.23. Exportação dos relatórios para os seguintes formatos: HTML, CSV, PDF, XML; 2.5.24. Geração de relatórios que contenham as seguintes informações: Máquinas com a lista de definições de vírus desatualizada; Qual a versão do software (inclusive versão gerenciada pela nuvem) instalado em cada máquina; Os vírus que mais foram detectados; As máquinas que mais sofreram infecções em um determinado período de tempo; Os usuários que mais sofreram infecções em um determinado período de tempo; 2.5.25. Gerenciamento de todos os módulos da suíte; 13
2.5.26. Possuir dashboards no gerenciamento da solução. Estes dashboards devem conter no mínimo todos os seguintes relatórios de fácil visualização: 2.5.27. Cobertura da proteção de Navegação Segura; 2.5.28. Relatório dos últimos 30 dias da detecção de códigos maliciosos; 2.5.29. Top 10 Computadores com Infecções; 2.5.30. Top 10 Computadores com Sites bloqueados pela politica; 2.5.31. Resumo das ações tomadas nos últimos 30 dias no que se refere a Filtro de Navegação na web; 2.5.32. Resumo dos tipos de sites acessados nos últimos 30 dias no que se refere a Filtro de Navegação Segura; 2.5.33. Gerenciar a atualização do antivírus em computadores portáteis (notebooks), automaticamente, mediante conexão em rede local ou remota; 2.5.34. Suportar o uso de múltiplos repositórios para atualização de produtos e arquivo de vacina com replicação seletiva; 2.5.35. Ter a capacidade de gerar registros/logs para auditoria; 2.5.36. A solução de gerenciamento deve ter a capacidade de atribuir etiquetas as máquinas, facilitando assim a distribuição automática dentro dos grupos hierárquicos na estrutura de gerenciamento; 2.5.37. A solução de gerenciamento deve permitir acesso a sua console via web; 2.5.38. Implementação de Dashboard com medição do nível de atualização do ambiente e o nível de cumprimento de política de segurança previamente definida; 2.6 Relatórios 2.6.1. Relatórios personalizáveis de conectividade dos agentes, identificando períodos sem comunicação; 2.6.2. Relatórios disponíveis em formato web acessíveis por HTTP ou HTTPS; 2.6.3. Assistente de criação e edição de relatórios com as seguintes funcionalidades: Seleção do tipo ou item de configuração alvo do relatório; Seleção de tabelas e campos relacionados somente ao tipo de item selecionado; 14
Classificação ascendente ou descendente para um ou mais campos selecionados; Filtros para qualquer campo através de operadores igual, maior que, menor que, maior ou igual, diferente e caractere curinga; Operadores booleanos E / OU ao usar múltiplos filtros; Associação de múltiplas tabelas. 2.6.4. Eventos recebidos; 2.6.5. Máquinas com a lista de definições de vírus desatualizada; 2.5.6. Qual a versão do software (inclusive versão gerenciada pela nuvem) instalado em cada máquina; 2.6.7. Os vírus que mais foram detectados; 2.6.8.As máquinas que mais sofreram infecções em um determinado período de tempo; 2.6.9.Os usuários que mais sofreram infecções em um determinado período de tempo; 2.6.10.Gerenciamento de todos os módulos da suíte; 2.6.11.Eventos detectados em tempo real 2.6.12.Usuários que mais tentaram a modificação de arquivos monitorados 2.6.13.Histórico de eventos, e configurável por datas 2.6.14.Deve possuir log de auditoria, logando todas as ações dos usuários na console de gerenciamento. 2.7 Solução de Lista Branca para desktops 2.7.1. A solução deve suportar as seguintes modalidades de proteção: Application Whitelisting: criação de uma lista de aplicações autorizadas que podem ser executadas no equipamento, onde todas as demais aplicações são impadidas de serem executadas; Application Blocking / Blacklisting: criação de uma lista de aplicações não autorizadas que não podem ser executadas; Memory Protection: monitoração e proteção de aplicativos e componentes críticos do sistema operacional de serem adulterados em tempo de execução, isto é, durante operação e execução em memória; 15
Change Control: Deve monitorar mudanças de arquivos e chaves de registro em tempo real; Sistemas Operacionais suportados para as estações/servidores com a solução instalada: Windows XP SP3, Windows 7 (32 ou 64 bits), Windows Vista (32 ou 64 bits), Windows NT 32 bit, Windows 2000 32bit; 2.7.2. Políticas e configurações: A aplicação deve conter um conjunto de políticas pré-configuradas; A solução deverá permitir a realização de varreduras por demandas em máquinas para executar a blindagem de aplicativos; Solução suporta criação, configuração e manutenção de políticas através de CLI (Command Line Interface) no caso de falha de conexão com a gerência centralizada; Solução suporta as modalidades de operação Online ou Offline. Solução suporta algorítmo de verificação de aplicações algorítmo de verificação SHA-1 (Secure Hash Algorithm); Solução suporta operação com impacto mínimo nos ciclos de CPU (Central Processing Unit) e consumo de memória abaixo de 10 MB (Megabytes); Solução suporta criação, configuração e manutenção de Whitelist dinamicamente através de definição de regras de confiança. 2.7.3. Suporta os mecanismos: Application Code Protection: permite que somente os programas em Whitelist (executáveis, binários, DLLs, Scripts, extensões customizadas, etc) possam ser executados. Além disso, permite proteção contra adulterações de programas em Whitelist (ex.: arquivos do programa) e, opcionalmente, chaves de registros9 contra modificações em disco; Memory Protection: permite proteção contra ataques e exploração de vulnerabilidades para os programas em Whitelist. 2.7.4. Suporta criação, configuração e manutenção de políticas, permitindo ou bloqueando a adesão de Whitelist, através de: 16
2.7.4.1. Binary: binário específico identificado através de seu nome ou de algorítmo de verificação SHA-1; 2.7.4.2. Trusted Publisher: fornecedor específico, assinado digitalmente por um certificado de segurança emitido, para este fornecedor, por uma Autoridade Certificadora (CA Certificate Authority); 2.7.4.3. Trusted Installer: software instalado por um programa instalador específico, identificações por seu algorítmo de verificação, independentemente de sua origem; 2.7.4.4. Trusted Directories: pasta compartilhada na rede, onde os programas instaladores para aplicações autorizadas e licenciadas são mantidos; 2.7.4.5. Trusted Program / Authorized Updater: programas identificados pelo nome, para adicionar e/ou atualizar aplicações; 2.7.4.6. Trusted Users / Authorized Users: somente usuários selecionados, substituindo a proteção de adulteração, para adicionar e/ou atualizar aplicações; 2.7.4.7. Trusted Time Window / Update Mode: janela de tempo para manutenção de aplicações. 2.8 Descrições dos serviços do Engenheiro Residente 2.8.1. O engenheiro residente deverá proporcionará estratégia em segurança para organização, desenho da solução e a gestão, apoio e defesa. 2.8.2. O engenheiro residente estará localmente nas instalações do cliente e dedicado à operação da plataforma em questão, cumprindo a carga horária de 8 horas diárias, de segunda à sexta. 2.8.3. O engenheiro deverá possuir vínculo com a Contratada, mediante apresentação, no momento da assinatura do contrato, de documento comprobatório de que o profissional pertence ao quadro permanente da empresa contratada, caraterizada pelo vínculo societário, devidamente comprovado por contrato social ou estatuto atualizado; ou vínculo 17
empregatício, através de cópia da ficha de registro de empregado e/ou carteira de trabalho; ou contrato de prestação de serviços. 2.8.4. O engenheiro residente deverá ter acesso ao suporte técnico do produto auxiliando nas tarefas diárias de manutenção e resolução de problemas da solução. 2.8.5. O engenheiro residente deverá possuir experiência e conhecimento nas tecnologias a serem adquiridas e em atividades do mesmo tipo e tamanho dos serviços contratados. 2.8.6. A comprovação de experiência do engenheiro residente deverá ser feita mediante apresentação, no momento da assinatura do contrato, de certificação no(s) produto(s) e/ou carta do fabricante atestando o conhecimento do mesmo. 2.8.7. A Contratada deverá disponibilizar um preposto/gerente de projeto/supervisor, não residente, que ficará responsável pela intermediação junto a Contratante e pelos projetos e atividades a serem realizadas pelo engenheiro residente, durante o período de alocação. 2.8.8. A Contratada deverá substituir, sempre que exigido pela Contratante e independente de justificativa por parte desta, qualquer profissional cuja atuação, permanência e/ou comportamento sejam julgados prejudiciais, inconvenientes ou insatisfatórios à disciplina ou ao interesse da própria Contratante, no prazo máximo de 15 dias; 2.8.9. Os serviços deverão incluir no mínimo o seguinte: 2.8.9.1. Estratégia de Negócios 2.8.9.1.1. Assessorar e estabelecer a direção estratégica para o desenho das soluções de segurança. 2.8.9.1.2. Participar em nível de iniciativa para ajudar a enfocar, gerenciar, e priorizar a operação da plataforma. 2.8.9.1.3. Proporcionar soluções precisas e concisas para a direção executiva. 2.8.9.1.4. Condução proativa das soluções e direcionamento através das unidades de negócio. 2.8.9.1.5. Remediar eventuais problemas da tecnologia. 2.8.9.1.6. Proporcionar uma direção estratégica para a apresentação de relatórios e métricas das soluções para melhorar a situação da segurança em geral. 18
2.8.9.1.7. Promover pela correta administração e operação das Soluções proporcionando uma melhor experiência a organização. 2.8.9.2. Gestão Operativa 2.8.9.2.1. Supervisionar e ajudar o gerenciamento das soluções de segurança. 2.8.9.2.2. Assegurar-se que as considerações do desenho de arquitetura originais, cumpram com os objetivos iniciais do projeto. Servir como o principal ponto de contato para todos os assuntos relacionados com tecnologias. 2.8.9.2.3. Ajudar a manter uma comunicação efetiva entre o cliente, os especialistas de produto, os serviços e a organização de apoio. 2.8.9.2.4. Realizar seguimento dia a dia. 2.8.9.2.5. Proporcionar relatórios coordenados das Soluções para a direção executiva. 3. Prazo 3.1. O prazo de vigência do Contrato será de 24 (vinte e quatro) meses, contados a partir da data de sua assinatura, podendo ser acrescido e o prazo prorrogado por igual período, na forma dos arts. 65 e 57 da Lei nº 8.666/93. 3.2. O prazo para implantação da solução será de 60 dias, a partir da comunicação formal pela Contratante. 4. Responsabilidades da Contratada 4.1. Fornecer à Secretaria Municipal da Educação licenças para os computadores utilizados pelos alunos da rede pública municipal, sem custos, no total de 16.000 licenças. 4.2. O Engenheiro Residente prestará seus serviços para atender a totalidade de licenças contratadas. 4.3. Atender as especificações técnicas contidas no item 2 19
4.4. Fornecer jogos de CD(s) ou endereço Web, constando de arquivos de instalação e documentação da solução à Contratante. 4.5. Enviar cópia(s) do(s) certificado(s) de licenciamento para o endereço seguranca@iplanrio.rio.rj.gov.br. 4.6. Garantir que as mídias de distribuição da solução estejam livres de defeitos materiais, sob uso normal, e de quaisquer códigos maliciosos (vírus, trojans, bots, etc.) ou outros componentes de software de efeito similar. 4.7. Disponibilizar, através do fabricante, servidores de atualização de definição de vírus em padrão de alta disponibilidade (24x7 e disponíveis em sites alternativos), com tempo máximo de 01 (uma) semana para atualização de novas definições de vírus. 4.8. Disponibilizar, através do fabricante, serviço de notificação de alerta de novos vírus em padrão de alta disponibilidade (24 x 7). 4.9. No caso de ser necessária a alteração da solução atual utilizada pela PCRJ, a Contratada deverá prover o planejamento do processo de migração, efetivando a migração dentro dos prazos acordados previamente com a Contratante, sem ônus adicionais. 4.10. A contratada deverá comprovar, no momento da assinatura do contrato, o seu relacionamento técnico e comercial com o fabricante que vise demonstrar que a mesma está autorizada a comercializar as licenças e prestar garantia de funcionamento da solução, compatível com objeto deste Termo de Referência, de forma a resguardar a Administração Pública quanto ao seu cumprimento, a origem dos produtos e ao suporte das licenças ofertadas. Esta comprovação se dará pela apresentação de autorização para comercialização, atestando a capacidade técnica e comercial da licitante para o fornecimento dos produtos originais, por meio de uma das formas abaixo: a) Declaração do fabricante dos produtos atestando ao proponente a sua condição de distribuidor; 20
b) Declaração do fabricante do produto atestando ao proponente sua condição de representante ou de revendedor; c) Declaração do distribuidor do produto atestando ao proponente a sua condição de representante ou de revendedor, acrescida da declaração da alínea a ; d) Declaração do fabricante, no caso de produtos de procedência estrangeira, acompanhada de tradução juramentada para o idioma nacional, atestando ao proponente sua condição de importador e, ainda, se for o caso, do importador para o proponente atestando sua qualidade de distribuidor, representante ou revendedor; e/ou, e) Impressão de página oficial do fabricante do produto na Internet, onde o proponente figure numa das hipóteses acima (distribuidor, representante ou revendedor), devendo ser informado o endereço da página para uma possível confirmação de conteúdo. 5. Serviço de garantia de funcionamento da solução 5.1. A contratada deverá disponibilizar atendimento, em língua portuguesa (do Brasil), pelo fabricante, via DDG (Discagem Direta Gratuita) ativo 24x7 (vinte e quatro horas por dia, sete dias por semana), o qual deverá estar disponível independente da localização física da Central de Atendimento da solução. 5.2. A contratada deverá disponibilizar atendimento, pelo fabricante, via Internet em padrão de alta disponibilidade (24x7), incluindo feriados locais, nacionais e internacionais: atualização de patches e fixes, base de conhecimento, documentação de serviço de garantia de funcionamento da solução, geração e acompanhamento do status dos chamados online. 5.3. O serviço de garantia de funcionamento da solução deverá garantir a resolução de problemas (falhas ou mau funcionamento) das versões instaladas nas plataformas (sistema operacional e hardware) utilizadas pelos órgãos e entidades da PCRJ nos prazos abaixo especificados, que serão contados a partir do registro do chamado. 21
GRAVIDADE 1 2 3 4 SINTOMAS solução de proteção inoperante nos clientes solução operante nos clientes, mas inoperante no servidor solução operante mas sem novas atualizações ou com falhas constantes Configurações em desacordo com as melhores práticas PRAZO DE ATENDIMENTO 2 (dois) dias úteis 4 (quatro) dias úteis 10 (dez) dias úteis 20 (vinte) dias úteis 5.4. Nas situações em que o chamado registrado não tenha sido resolvido por telefone na metade dos tempos descritos acima, a Contratada deverá enviar profissional habilitado para realizar atendimento on site, sendo todas as despesas provenientes deste atendimento de responsabilidade da Contratada. 5.5. Responder, formalmente, dentro de 03 (três) dias úteis, a todas as correspondências emitidas pela Contratante, prestando todos os esclarecimentos solicitados. 6. Responsabilidades da contratante 6.1. Acompanhar a prestação dos serviços pela Contratada, diligenciando junto à Contratada a resolução de eventuais problemas detectados pela IPLANRIO. 7. Critério de Julgamento 7.1. Menor preço global. 8. Qualificação Técnica 8.1. A Licitante deverá comprovar aptidão para desempenho de atividade pertinente e compatível em características, quantidade e prazos com o 22
objeto da licitação mediante apresentação de atestado(s) fornecido(s) por pessoas jurídicas de direito público, ou privado. 9. Forma de Pagamento 9.1. O pagamento do Contrato dar-se-á em duas parcelas iguais, anuais e diretamente à Contratada, exceto a contratação do Engenheiro residente, neste caso o pagamento será mensal. 10. Fiscalização e Aceite dos serviços 10.1 Caberá a Comissão de Fiscalização, formada por servidores da Diretoria de Operações da IPLANRIO, acompanhar os serviços prestados. 10.2 O Aceite Provisório se dará no prazo de cinco dias úteis após a implantação da solução pela Contratada. 10.3 A Aceitação Definitiva será dada pela Comissão de Fiscalização do Contrato após o fiel e integral cumprimento do contrato. Rio de Janeiro, de Abril de 2015 José Raul Franco Reis Gerente de Prospecção tecnológica Diretoria de Tecnologia Leonardo Cavalieri Diretor de Tecnologia 23