TERMO DE REFERÊNCIA
PRESTAÇÃO DE SERVIÇO DE
LICENCIAMENTO DE SOLUÇÃO DE
ANTIVÍRUS COM ENGENHEIRO RESIDENTE
1. OBJETO
Contratação de serviços de licenciamento de solução corporativa de
antivírus, serviços de instalação, configuração e suporte técnico, atualização de
versão, vacinas e listas de vírus, e serviço de Engenheiro residente, em horário
comercial, para suportar a solução implantada e as demais licenças a serem
contratadas, para todos os órgãos e entidades da Prefeitura da Cidade do Rio
de Janeiro.
2. ESPECIFICAÇÕES TÉCNICAS MÍNIMAS
2.1. Solução Corporativa de Antivírus.
Solução
Unidade
Qtde
Licenças
Unt.
32.000
Engenheiro
Mensal
24
2.2. Características Gerais da Solução
2.2.1. A solução deve ser do tipo cliente/servidor, onde a parte servidora
mantém todas as configurações definidas pelo administrador e a parte cliente
busca ou recebe essas configurações do servidor. O software cliente é
instalado em estações de trabalho e outros clientes, como tablets. O software
de gerenciamento (parte servidora) é instalado em um ou mais servidores
dedicados e dimensionados para esse fim, denominado, neste documento, de
Servidores de Gerenciamento;
2.2.2. Permitir a instalação de Servidores de Gerenciamento adicionais,
fornecendo assim a possibilidade de trabalho em redundância onde, no caso
de falha de um dos servidores, o outro assume todas as funções da solução,
sem provocar indisponibilidade para os endpoints;
2.2.3. Permitir a sincronização das configurações e dados entre os Servidores
de Gerenciamento;
2
2.2.4. Permitir o gerenciamento de clientes, com no mínimo, os seguintes
sistemas operacionais:

Windows Server 2003, 32 e 64 bits;

Windows Server 2008 e superior, 32 e 64 bits;

Windows XP;

Windows 7, 32 e 64 bits;

Windows 8, 32 e 64 bits;

MacOS Lion 10 e superior;

iOS 4 e superior;

Android 2.2 e superior.
2.2.5. Permitir diferentes configurações de varredura em tempo real baseandose em processos de baixo ou alto risco, tornando assim o desempenho do
produto mais estável;
2.2.6. Rastrear em tempo real dos processos em memória, para a captura de
vírus que são executados em memória sem a necessidade de escrita de
arquivo;
2.2.7. Permitir a instalação em máquinas virtuais do antivírus que integra-se
com a console gerencial de endpoint e, que seja específico para ambientes
virtuais, sem impor nenhuma restrição ao funcionamento e aos recursos e
funcionalidades. Este deve ter como principal característica o desempenho do
ambiente virtal e neutralização do storm de máquinas virtuais;
2.2.8. Exibir um único ícone na barra de ferramentas do sistema operacional
do endpoint, devendo ser possível configurá-la para que nenhum ícone seja
exibido;
2.2.9. A solução ofertada deverá utilizar um sistema gerenciador de banco de
dados dedicado. O licenciamento referente a este SGBD deverá ser fornecido
pela contratada;
2.2.10. Possibilitar o estabelecimento de alvos de políticas por filtros baseados
em qualquer informação disponível sobre os clientes. Exemplos: configurações
de sistema operacional, hardware, componentes, softwares e versões;
2.2.11. Clientes devem ser atualizados automaticamente nos grupos de
políticas conforme a inclusão ou exclusão de clientes ou da mudança de suas
configurações;
3
2.2.12. Implementar, na própria solução, código único para clientes, garantindo
consistência para a base de dados mesmo com mudanças de hostname,
endereço MAC da placa de rede, endereço IP ou outras informações nos
clientes evitando a criação de registros duplicados;
2.2.13. Permitir forçar comunicação dos clientes a partir da console para
atualizar as políticas e inventário;
2.2.14. Permitir a ativação e desativação do software cliente por meio da
console de gerenciamento, sem necessidade de reinicialização do endpoint;
2.2.15. Permitir integração da solução com o Microsoft Active Directory,
possibilitando, no mínimo, as seguintes tarefas:

Importação e sincronização de usuários, computadores, sites,
unidades organizacionais e grupos do AD;

Permitir ao administrador criar agendamentos e definir horários ou
frequência de importação;

Permitir a importação e sincronização diferencial, ou seja, apenas
dos dados que apresentarem modificações em relação à última
sincronização realizada, mantendo a alteração mais recente;

Permitir autenticação de usuários da solução e atribuir papéis na
utilização da console de gerência.

Aplicação de políticas baseadas em grupos de AD;

Instalação automática do software cliente em computadores de
grupos pré-definidos do AD que ainda não estejam sendo
gerenciados.
2.2.16. Permitir agendamento de instalação, atualização e desinstalação do
software cliente via políticas no servidor a partir da console de gerenciamento
da solução, sem necessidade de reinício (boot) dos endpoints e de forma
silenciosa, ou seja, sem interação com usuário;
2.2.17. Permitir flexibilidade para definição da frequência de comunicação
cliente-servidor;
2.2.18. Controlar banda de rede utilizada pelo cliente na sua comunicação com
o servidor utilizando:
Configurações diferenciadas por faixa de horário.
Permitir configurar exceções para políticas.
O licenciamento da solução de antivirus fornecido deverá ser perpétuo.
4
2.2.19. Prover funcionalidade de envio de logs a servidor do tipo syslog.
2.2.20. Permitir a definição de política geral que se aplique aos usuários que
não estejam conectados à rede gerenciada pela instituição, para no mínimo:
2.2.21. Prover capacidade de habilitar somente aplicativos homologados pela
instituição, enquanto conectados à rede gerenciada;
2.2.22. Prover capacidade de separar a utilização dos aplicativos privados dos
corporativos homologados.
2.2.23. Detectar programas maliciosos como spyware, programas de
propaganda, ferramentas como password crackers, e outras com fins
maliciosos.
 Programação de atualizações automáticas das listas de definições
de vírus, a partir de local predefinido da rede, ou de site da
Internet, com frequência (no mínimo diária) e horários definidos
pelo administrador;
 Permitir atualização incremental da lista de definições de vírus;
2.2.24. Salvar automaticamente as listas de definições de vírus em local
especificado na rede, após cada atualização bem-sucedida
2.2.25. Permitir programação de rastreamentos automáticos do sistema com a
seguinte opção:
 Programação de atualizações automáticas das listas de definições de
vírus, a partir de local predefinido da rede, ou de site da Internet, com
freqüência (no mínimo diária) e horários definidos pelo administrador
2.2.26. Permitir atualização incremental da lista de definições de vírus;
2.2.27. Permitir programação de rastreamentos automáticos do sistema com as
seguintes opções:
 Escopo: Todos os drives locais, drives específicos, ou pastas
específicas;
 Ação:
Somente
alertas,
limpar
automaticamente,
apagar
automaticamente,
renomear
automaticamente,
ou
mover
automaticamente para área de segurança (quarentena);
 Freqüência: Horária, diária, semanal, mensal;
 Exclusões: Pastas ou arquivos que não devem ser rastreados;
 Gerar registro (log) dos eventos de vírus em arquivo e local definido pelo
usuário, com limite de tamanho opcional;
 Gerar notificações de eventos de vírus através de alerta na rede;
2.2.28. Permitir a instalação em ambientes em Cluster Microsoft;
5
2.2.29. Permitir bloqueio de aplicações pelo nome do arquivo;
2.2.30. Permitir bloqueio de portas;
2.2.31. Permitir criação de regras baseadas em processos de sistema;
2.2.32. Permitir o bloqueio de compartilhamentos da máquina em caso de
epidemia;
2.2.33. Possuir proteção contra estouro de buffer;
2.2.34. Permitir detecção de cookies potencialmente indesejáveis no sistema;
2.2.35. O sistema de antispyware deve estar totalmente integrado ao software
Antivírus utilizando a mesma biblioteca de definições de vírus e demais
ameaças;
2.2.36. O sistema deve estar integrado ao console de gerenciamento de
segurança de sistemas, que também gerencia antivírus antispyware, IPS de
Host e Firewall desktop. Possibilitando uma única e simples interface para
gerenciar toda uma solução de segurança. Não deve ser instalado nenhum
software adicional a console de gerenciamento para permitir o controle
integrado.
2.2.37. Possuir proteção contra BOTs ;
2.2.38. Funcionar tanto no ambiente corporativo como em VPN;
2.2.39. Possuir instalação “silenciosa”;
2.2.40. Possuir gerenciamento centralizado;
2.2.41. Possibilitar a integração de políticas definidas pelo administrador com o
usuário local;
2.2.42. Permitir instalação automática em máquinas novas na rede, via
software de gerência;
2.3 Solução para estações de Trabalho 32 bits e 64 bits. (Antivírus,
AntiSpyware, filtro web local, Controle de Dispositivos externos(USB) e IPS
de Host)
2.3.1. Suportar as plataformas Windows XP, Windows Vista, Windows 7,
Windows 8;
2.3.2. Suporte total a plataforma 64 bits;
2.3.3. Todas as funcionalidades deste item devem ser ativadas por agente
único que facilita a instalação, a configuração e o gerenciamento.
2.3.4. Rastreamento em tempo real, para arquivos durante entrada e saída
(gravação e leitura), com as seguintes opções:
6
 Limpar arquivos automaticamente;
 Excluir arquivos Automaticamente;
 Negar Acesso aos Arquivos (quarentena);
2.3.5. Rastreamento manual com interface Windows, customizável, com opção
de limpeza;
2.3.6. Permitir diferentes configurações de varredura em tempo real baseandose em processos de baixo ou alto risco, tornando assim o desempenho do
produto mais estável;
2.3.7. Rastreamento em tempo real dos processos em memória, para a captura
de vírus que são executados em memória sem a necessidade de escrita de
arquivo;
2.3.8. Detecção de programas maliciosos como spyware, programas de
propaganda, ferramentas como password crackers, etc...
 Programação de atualizações automáticas das listas de definições de
vírus, a partir de local predefinido da rede, ou de site da Internet, com
freqüência (no mínimo diária) e horários definidos pelo administrador;
 Permitir atualização incremental da lista de definições de vírus;
2.3.9. Salvar automaticamente as listas de definições de vírus em local
especificado na rede, após cada atualização bem-sucedida;
2.3.10.Programação de rastreamentos automáticos do sistema com as
seguintes opções:
 Escopo: Todos os drives locais, drives específicos, ou pastas
específicas;
 Ação:
Somente
automaticamente,
alertas,
renomear
limpar
automaticamente,
automaticamente,
ou
apagar
mover
automaticamente para área de segurança (quarentena);
 Freqüência: Horária, diária, semanal, mensal;
 Exclusões: Pastas ou arquivos que não devem ser rastreados;
2.3.11. Gerar registro (log) dos eventos de vírus em arquivo e local definido
pelo usuário, com limite de tamanho opcional;
2.3.12. Gerar notificações de eventos de vírus através de alerta na rede;
2.3.13. Permitir a instalação em ambientes em Cluster Microsoft;
7
2.3.14. Permitir bloqueio de aplicações pelo nome do arquivo;
2.3.15.Permitir o bloqueio do compartilhamento caso uma ameaça seja
detectada em uma pasta compartilhada;
2.3.16.Permitir o bloqueio de compartilhamentos da máquina em caso de
epidemia;
2.3.17. Possuir proteção contra estouro de buffer;
2.3.18. Detecção de cookies potencialmente indesejáveis no sistema;
2.3.19. O sistema de antispyware deve estar integrado ao software antivírus
utilizando a mesma biblioteca de definições de vírus e demais ameaças;
2.3.20. O sistema deve estar integrado ao console de gerenciamento de
segurança de sistemas, que também gerencia antivírus antispyware, IPS de
Host e Firewall desktop. Possibilitando uma única e simples interface para
gerenciar toda uma solução de segurança. Não deve ser instalado nenhum
software adicional a console de gerenciamento para permitir o controle
integrado;
2.3.21. Oferecer proteção avançada de sistemas contra ameaças tais como
ataques remotos de injeção de SQL ou HTTP;
2.3.22.Possuir
proteção
completa,
pronta
para
operação
e
contra
vulnerabilidades desconhecidas, tais como estouro de buffer (buffer overflow) e
ataques de dia zero (zero-day attacks);
2.3.23. Possuir proteção contra BOTs ;
2.3.24.Capacidade de trabalhar no modo adaptativo se adaptando a novas
aplicações instaladas na máquina;
2.3.25.Disponibilizar os seguintes relatórios na plataforma de gerência: sumário
de eventos de IPS por assinatura, por alvo, por endereço IP origem, os 10
principais nós atacados, as 10 principais assinaturas, sumário das aplicações
bloqueadas e update de quarentena.
2.3.26.Permitir o bloqueio de ataques baseados em Web como: Directory
Traversal Attacks e Unicode Attacks;
2.3.27. Interceptar tráfego e requisições de HTTP após decriptação e
decodificação;
2.3.28. Prevenir o roubo de informações de um servidor Web, ou mesmo que
um hacker com privilégios de root possa manipular o servidor Web;
2.3.29. Permitir criação de política que somente permita tráfego de rede de
saída da máquina depois que o cliente de IPS de Host estiver sendo
executado;
8
2.3.30. Permitir o bloqueio de aplicações e os processos que a aplicação
interage;
2.3.31. Capacidade de detectar e bloquear tentativas de invasão;
2.3.32. Possuir instalação “silenciosa”;
2.3.33. Possuir gerenciamento centralizado;
2.3.34. Bloquear acessos indevidos que não estejam na tabela de políticas
definidas pelo administrador;
2.3.35. Permitir monitoração de aplicações onde se pode determinar quais
processos poderá ser executados ou não.
2.3.36. Permitir monitoração de Hooking de aplicações onde se podem
determinar quais processos pode ser executado ou não.
2.3.37. Permitir criar regras de bloqueio/permissão utilizando protocolos ou
aplicações;
2.3.38. Permitir configuração de regras por horários.
2.3.39. Possuir integração com a mesma ferramenta de gerência do antivírus;
2.3.40. Possibilitar a integração de políticas definidas pelo administrador com o
usuário local;
2.3.41. Instalação automática em máquinas novas na rede, via software de
gerência.
2.3.42. Possuir ferramenta para verificação de reputação de websites.
2.3.43. Possibilidade de configuração de bloqueio de acesso aos sites
maliciosos pela console de gerenciamento.
2.3.44. Possibilidade de criar blacklists e whitelists de urls para estações pela
console de gerenciamento.
2.3.45. A solução deve ser capaz de identificar sistemas gerenciados ou não
pela console de gerenciamento;
2.3.46. A solução devera controlar dispositivos removíveis permitindo o
gerenciamento dos mesmos pela mesma console de administração de toda
solução.
2.3.47. Controlar o modo como os usuários copiam dados em drives USB,
iPods, CDs regraváveis e DVDs, disquetes, dispositivos Bluetooth e IrDA,
dispositivos de leitura de imagens, portas COM e LPT e outros.
2.3.48. Especificar quais dispositivos podem ou não ser usados por qualquer
parâmetro de dispositivo, inclusive códigos de produtos, códigos de fornecedor,
números de série, classes de dispositivos, nomes de dispositivos.
9
2.3.49. Coletar dados de incidentes tais como dispositivo, data/hora, evidências
de dados e outros, para reação, investigação e auditoria.
2.3.50. Permitir regra de reação para unidades de mídia removível (ex.:
pendrive) com as opções de bloqueio total, somente leitura e monitoramento.
2.3.51. Monitorar automaticamente o uso e bloquear todas as tentativas de uso
dos dispositivos ou transferência de dados contrários às políticas definidas.
Integração com estrutura de Active Directory para criação de regras baseadas
em usuários ou grupos de usuários.
2.4 Dispositivos móveis
2.4.1. A solução deve ser gerenciada pela mesma console de gerenciamento
de toda a solução endpoint;
2.4.2. Permitir o gerenciamento dos seguintes sistemas operacionais de
dispositivos móveis:

Apple IOS 4.1 ou superior

Android 2.2 ou superior

Windows Phone
2.4.3. Possuir um sistema de catálogo de dispositivos permitindo manter o
sistema atualizado com os lançamentos de novos dispositivos e sistemas
operacionais sem a necessidade de reinstalação do servidor;
2.4.4. Possuir checagem de vírus;
2.4.5. Oferecer um sistema de auto-provisionamento baseado em aplicação
disponibilizada na Apple Application Store, Google Android Market ou através
de portal hospedado internamente;
2.4.6. Criação de políticas diferenciadas para grupos de usuários com as
seguintes características:
2.4.7. Controle de dispositivos que não suportem criptografia;
2.4.8. Bloqueio de dispositivos “rooted” ou “jail-broken”, dispositivos alterados
pelo usuário que podem comprometer a segurança dos dados;
2.4.8. Seleção de Versão Mínima de Sistema Operacional aceita para
instalação da ferramenta de forma diferenciada para diferentes tipos de
hardware, EX.: iPhone, iPad, iPod;
 Criação de Política de Senhas com as seguintes opções:
 Tamanho mínimo da senha;
10
 Uso de caracteres especiais;
 Tempo de Inatividade do Dispositivo;
 Histórico de senhas;
 Tempo de Expiração da Senha;
 Número de tentativas antes de apagar o dispositivo;
 Bloqueio Seletivo de Recursos do Telefone;
 Restringir conteúdo Explicito;
 Controle de sincronização com serviço de nuvem;
 YouTube;
 Provisionamento de Certificados Digitais;
 Camera;
 Captura de Tela;
 Sincronismo Automático em Roaming;
 Blacklist de Aplicativos, removendo provisionamento do sistema caso um
aplicativo não autorizado seja instalado;
 Browser;
2.4.9. Criação de configurações de VPN:
 L2TP, PPTP, IPSEC, F5 SSL, CISCO any connect e Juniper SSL;
2.4.10. Permitir o bloqueio remoto do dispositivo;
2.4.11. Permitir o apagamento remoto “wipe” do dispositivo;
2.4.12. Permitir exclusão do perfil de e-mail e usuário sem afetar as demais
informações do dispositivo;
2.4.13. Possuir sistema de antivírus integrado para plataforma Android;
2.4.14. Permitir a instalação de aplicativos desenvolvidos internamente para os
dispositivos móveis através da console de gerenciamento;
2.4.15.Possuir portal de auto-serviço, onde o usuário poderá realizar operações
de provisionamento de dispositivo, limpeza remota em caso de perda (wipe),
atualização de configuração e consultar aplicativos recomendados;
2.4.16.Permitir a publicação de links para aplicações recomendadas que
estejam publicadas na Apple Application Store ou Google Android Market;
2.4.17. Permitir detectar os aplicativos que estão instalados nos dispositivos
móveis e exibí-los na console de gerenciamento;
2.4.18. Deve ser capaz de se integrar com estruturas PKI existentes;
11
2.4.19. Possuir perfis de política diferenciados para administração de
dispositivos corporativos e particulares;
2.4.20. Suporte, em dispositivos móveis, a diferentes serviços de e-mail,
incluindo, no mínimo, Microsoft Exchange (Active Sync) e Lotus Domino
(Traveller);
2.4.21. Capacidade de se integrar com certificados digitais padrão X-509 em
dispositivos móveis;
2.4.22. Capacidade de coletar e enviar relatórios de uso e conformidade de
dispositivos móveis;
2.5 Console de Gerenciamento
2.5.1. Suporte a instalação em um servidor nas plataformas, Windows Server
2008 (Com Service Pack 2 ou superior) 32 e 64 bits, Windows 2008 Server R2,
Windows 2012 Server, Windows 2012 Server R2;
2.5.2. Suporte a instalação em cluster Microsoft;
2.5.3. Permitir o gerenciamento do servidor através do protocolo TCP/IP e
HTTP;
2.5.4. Permitir a instalação dos Módulos da Solução a partir de um único
servidor;
2.5.5. Permitir a alteração das configurações Módulos da Solução nos clientes
de maneira remota;
2.5.6. Possuir a integração com o gerenciamento da solução de segurança de
estações de trabalho e servidores, do mesmo fabricante, a fim de prover uma
única console de gerenciamento centralizado de todas as soluções de
segurança que possam ser utilizadas pela CONTRATANTE;
2.5.7. Permitir a atualização incremental da lista de definições de vírus nos
clientes, a partir de um único ponto da rede local;
2.5.8. Visualização das características básicas de hardware das máquinas;
2.5.9. Integração e Importação automática da estrutura de domínios do Active
Directory já existentes na rede local;
12
2.5.10. Permitir a criação de tarefas de atualização, verificação de vírus e
upgrades em períodos de tempo pré-determinados, na inicialização do Sistema
Operacional ou no Logon na rede;
2.5.11.Permitir o armazenamento das informações coletadas nos clientes em
um banco de dados centralizado;
2.5.12. Permitir diferentes níveis de administração do servidor, de maneira
independente do login da rede;
2.5.13. Suporte a múltiplos usuários, com diferentes níveis de acesso e
permissões aos produtos gerenciados;
2.5.14. Criação de grupos de máquinas baseadas em regras definidas em
função do número IP do cliente;
2.5.15. Permitir a criação de grupos virtuais através de “TAGs”;
2.5.16. Permitir aplicar as “TAGs” nos sistemas por vários critérios incluindo:
produtos instalados, versão de sistema operacional, quantidade de memória,
etc;
2.5.17. Forçar a configuração determinada no servidor para os clientes;
2.5.18. Caso o cliente altere a configuração, a mesma deverá retornar ao
padrão estabelecido no servidor, quando a mesma for verificada pelo agente;
2.5.19. A comunicação entre as máquinas clientes e o servidor de
gerenciamento deve ser segura usando protocolo de autenticação HTTPS;
2.5.20. Forçar a instalação dos Módulos da Solução nos clientes;
2.5.21. Caso o cliente desinstale os Módulos da Solução, os mesmos deverão
ser reinstalados, quando o agente verificar o ocorrido;
2.5.22. Customização dos relatórios gráficos gerados;
2.5.23. Exportação dos relatórios para os seguintes formatos: HTML, CSV,
PDF, XML;
2.5.24. Geração de relatórios que contenham as seguintes informações:

Máquinas com a lista de definições de vírus desatualizada;

Qual a versão do software (inclusive versão gerenciada pela nuvem)
instalado em cada máquina;

Os vírus que mais foram detectados;

As máquinas que mais sofreram infecções em um determinado período
de tempo;

Os usuários que mais sofreram infecções em um determinado período
de tempo;
2.5.25. Gerenciamento de todos os módulos da suíte;
13
2.5.26. Possuir dashboards no gerenciamento da solução. Estes dashboards
devem conter no mínimo todos os seguintes relatórios de fácil visualização:
2.5.27. Cobertura da proteção de Navegação Segura;
2.5.28. Relatório dos últimos 30 dias da detecção de códigos maliciosos;
2.5.29. Top 10 Computadores com Infecções;
2.5.30. Top 10 Computadores com Sites bloqueados pela politica;
2.5.31. Resumo das ações tomadas nos últimos 30 dias no que se refere a
Filtro de Navegação na web;
2.5.32. Resumo dos tipos de sites acessados nos últimos 30 dias no que se
refere a Filtro de Navegação Segura;
2.5.33. Gerenciar a atualização do antivírus em computadores portáteis
(notebooks), automaticamente, mediante conexão em rede local ou remota;
2.5.34. Suportar o uso de múltiplos repositórios para atualização de produtos e
arquivo de vacina com replicação seletiva;
2.5.35. Ter a capacidade de gerar registros/logs para auditoria;
2.5.36. A solução de gerenciamento deve ter a capacidade de atribuir etiquetas
as máquinas, facilitando assim a distribuição automática dentro dos grupos
hierárquicos na estrutura de gerenciamento;
2.5.37. A solução de gerenciamento deve permitir acesso a sua console via
web;
2.5.38. Implementação de Dashboard com medição do nível de atualização do
ambiente e o nível de cumprimento de política de segurança previamente
definida;
2.6 Relatórios
2.6.1. Relatórios personalizáveis de conectividade dos agentes, identificando
períodos sem comunicação;
2.6.2. Relatórios disponíveis em formato web acessíveis por HTTP ou HTTPS;
2.6.3. Assistente de criação e edição de relatórios com as seguintes
funcionalidades:

Seleção do tipo ou item de configuração alvo do relatório;

Seleção de tabelas e campos relacionados somente ao tipo de item
selecionado;
14

Classificação ascendente ou descendente para um ou mais campos
selecionados;

Filtros para qualquer campo através de operadores igual, maior que,
menor que, maior ou igual, diferente e caractere curinga;

Operadores booleanos E / OU ao usar múltiplos filtros;

Associação de múltiplas tabelas.
2.6.4. Eventos recebidos;
2.6.5. Máquinas com a lista de definições de vírus desatualizada;
2.5.6. Qual a versão do software (inclusive versão gerenciada pela nuvem)
instalado em cada máquina;
2.6.7. Os vírus que mais foram detectados;
2.6.8.As máquinas que mais sofreram infecções em um determinado período
de tempo;
2.6.9.Os usuários que mais sofreram infecções em um determinado período de
tempo;
2.6.10.Gerenciamento de todos os módulos da suíte;
2.6.11.Eventos detectados em tempo real
2.6.12.Usuários que mais tentaram a modificação de arquivos monitorados
2.6.13.Histórico de eventos, e configurável por datas
2.6.14.Deve possuir log de auditoria, logando todas as ações dos usuários na
console de gerenciamento.
2.7 Solução de Lista Branca para desktops
2.7.1. A solução deve suportar as seguintes modalidades de proteção:
 Application Whitelisting: criação de uma lista de aplicações autorizadas
que podem ser executadas no equipamento, onde todas as demais
aplicações são impadidas de serem executadas;
 Application Blocking / Blacklisting: criação de uma lista de aplicações
não autorizadas que não podem ser executadas;
 Memory
Protection:
monitoração
e
proteção
de
aplicativos
e
componentes críticos do sistema operacional de serem adulterados em
tempo de execução, isto é, durante operação e execução em memória;
15
 Change Control: Deve monitorar mudanças de arquivos e chaves de
registro em tempo real;
 Sistemas Operacionais suportados para as estações/servidores com a
solução instalada: Windows XP SP3, Windows 7 (32 ou 64 bits),
Windows Vista (32 ou 64 bits), Windows NT 32 bit, Windows 2000 32bit;
2.7.2. Políticas e configurações:
 A aplicação deve conter um conjunto de políticas pré-configuradas;
 A solução deverá permitir a realização de varreduras por demandas em
máquinas para executar a blindagem de aplicativos;
 Solução suporta criação, configuração e manutenção de políticas
através de CLI (Command Line Interface) no caso de falha de conexão
com a gerência centralizada;
 Solução suporta as modalidades de operação Online ou Offline.
 Solução suporta algorítmo de verificação de aplicações – algorítmo de
verificação SHA-1 (Secure Hash Algorithm);
 Solução suporta operação com impacto mínimo nos ciclos de CPU
(Central Processing Unit) e consumo de memória abaixo de 10 MB
(Megabytes);
 Solução suporta criação, configuração e manutenção de Whitelist
dinamicamente através de definição de regras de confiança.
2.7.3. Suporta os mecanismos:
 Application Code Protection: permite que somente os programas em
Whitelist (executáveis, binários, DLLs, Scripts, extensões customizadas,
etc) possam ser executados. Além disso, permite proteção contra
adulterações de programas em Whitelist (ex.: arquivos do programa) e,
opcionalmente, chaves de registros9 contra modificações em disco;
 Memory Protection: permite proteção contra ataques e exploração de
vulnerabilidades para os programas em Whitelist.
2.7.4. Suporta criação, configuração e manutenção de políticas, permitindo ou
bloqueando a adesão de Whitelist, através de:
16
2.7.4.1.
Binary: binário específico identificado através de seu nome ou
de algorítmo de verificação SHA-1;
2.7.4.2.
Trusted
Publisher:
fornecedor
específico,
assinado
digitalmente por um certificado de segurança emitido, para
este fornecedor, por uma Autoridade Certificadora (CA –
Certificate Authority);
2.7.4.3.
Trusted Installer: software instalado por um programa
instalador específico, identificações por seu algorítmo de
verificação, independentemente de sua origem;
2.7.4.4.
Trusted Directories: pasta compartilhada na rede, onde os
programas
instaladores
para
aplicações
autorizadas
e
licenciadas são mantidos;
2.7.4.5.
Trusted
Program
/
Authorized
Updater:
programas
identificados pelo nome, para adicionar e/ou atualizar
aplicações;
2.7.4.6.
Trusted
Users
/
Authorized
Users:
somente
usuários
selecionados, substituindo a proteção de adulteração, para
adicionar e/ou atualizar aplicações;
2.7.4.7.
Trusted Time Window / Update Mode: janela de tempo para
manutenção de aplicações.
2.8 Descrições dos serviços do Engenheiro Residente
2.8.1. O engenheiro residente deverá proporcionará estratégia em
segurança para organização, desenho da solução e a gestão, apoio e defesa.
2.8.2. O engenheiro residente estará localmente nas instalações do
cliente e dedicado à operação da plataforma em questão, cumprindo a carga
horária de 8 horas diárias, de segunda à sexta.
2.8.3. O engenheiro deverá possuir vínculo com a Contratada, mediante
apresentação, no momento da assinatura do contrato, de documento
comprobatório de que o profissional pertence ao quadro permanente da
empresa contratada, caraterizada pelo vínculo societário, devidamente
comprovado
por
contrato
social
ou
estatuto
atualizado;
ou
vínculo
17
empregatício, através de cópia da ficha de registro de empregado e/ou carteira
de trabalho; ou contrato de prestação de serviços.
2.8.4. O engenheiro residente deverá ter acesso ao suporte técnico do
produto auxiliando nas tarefas diárias de manutenção e resolução de
problemas da solução.
2.8.5.
O
engenheiro
residente
deverá
possuir
experiência
e
conhecimento nas tecnologias a serem adquiridas e em atividades do mesmo
tipo e tamanho dos serviços contratados.
2.8.6. A comprovação de experiência do engenheiro residente deverá
ser feita mediante apresentação, no momento da assinatura do contrato, de
certificação no(s) produto(s) e/ou carta do fabricante atestando o conhecimento
do mesmo.
2.8.7. A Contratada deverá disponibilizar um preposto/gerente de
projeto/supervisor, não residente, que ficará responsável pela intermediação
junto a Contratante e pelos projetos e atividades a serem realizadas pelo
engenheiro residente, durante o período de alocação.
2.8.8. A Contratada deverá substituir, sempre que exigido pela
Contratante e independente de justificativa por parte desta, qualquer
profissional cuja atuação, permanência e/ou comportamento sejam julgados
prejudiciais, inconvenientes ou insatisfatórios à disciplina ou ao interesse da
própria Contratante, no prazo máximo de 15 dias;
2.8.9. Os serviços deverão incluir no mínimo o seguinte:
2.8.9.1. Estratégia de Negócios
2.8.9.1.1. Assessorar e estabelecer a direção estratégica para o
desenho das soluções de segurança.
2.8.9.1.2. Participar em nível de iniciativa para ajudar a enfocar,
gerenciar, e priorizar a operação da plataforma.
2.8.9.1.3. Proporcionar soluções precisas e concisas para a direção
executiva.
2.8.9.1.4. Condução proativa das soluções e direcionamento através das
unidades de negócio.
2.8.9.1.5. Remediar eventuais problemas da tecnologia.
2.8.9.1.6. Proporcionar uma direção estratégica para a apresentação de
relatórios e métricas das soluções para melhorar a situação da segurança em
geral.
18
2.8.9.1.7. Promover pela correta administração e operação das Soluções
proporcionando uma melhor experiência a organização.
2.8.9.2. Gestão Operativa
2.8.9.2.1. Supervisionar e ajudar o gerenciamento das soluções de
segurança.
2.8.9.2.2.
Assegurar-se que as considerações do desenho de
arquitetura originais, cumpram com os objetivos iniciais do projeto. Servir
como o principal ponto de contato para todos os assuntos relacionados
com tecnologias.
2.8.9.2.3. Ajudar a manter uma comunicação efetiva entre o cliente, os
especialistas de produto, os serviços e a organização de apoio.
2.8.9.2.4. Realizar seguimento dia a dia.
2.8.9.2.5. Proporcionar relatórios coordenados das Soluções para a
direção executiva.
3. Prazo
3.1. O prazo de vigência do Contrato será de 24 (vinte e quatro) meses,
contados a partir da data de sua assinatura, podendo ser acrescido e o prazo
prorrogado por igual período, na forma dos arts. 65 e 57 da Lei nº 8.666/93.
3.2. O prazo para implantação da solução será de 60 dias, a partir da
comunicação formal pela Contratante.
4. Responsabilidades da Contratada
4.1. Fornecer à Secretaria Municipal da Educação licenças para os
computadores utilizados pelos alunos da rede pública municipal, sem custos,
no total de 16.000 licenças.
4.2. O Engenheiro Residente prestará seus serviços para atender a totalidade
de licenças contratadas.
4.3. Atender as especificações técnicas contidas no item 2
19
4.4. Fornecer jogos de CD(s) ou endereço Web, constando de arquivos de
instalação e documentação da solução à Contratante.
4.5. Enviar cópia(s) do(s) certificado(s) de licenciamento para o endereço
[email protected].
4.6. Garantir que as mídias de distribuição da solução estejam livres de
defeitos materiais, sob uso normal, e de quaisquer códigos maliciosos (vírus,
trojans, bots, etc.) ou outros componentes de software de efeito similar.
4.7. Disponibilizar, através do fabricante, servidores de atualização de definição
de vírus em padrão de alta disponibilidade (24x7 e disponíveis em sites
alternativos), com tempo máximo de 01 (uma) semana para atualização de
novas definições de vírus.
4.8. Disponibilizar, através do fabricante, serviço de notificação de alerta de
novos vírus em padrão de alta disponibilidade (24 x 7).
4.9. No caso de ser necessária a alteração da solução atual utilizada pela
PCRJ, a Contratada deverá prover o planejamento do processo de migração,
efetivando a migração dentro dos prazos acordados previamente com a
Contratante, sem ônus adicionais.
4.10. A contratada deverá comprovar, no momento da assinatura do contrato, o
seu relacionamento técnico e comercial com o fabricante que vise demonstrar
que a mesma está autorizada a comercializar as licenças e prestar garantia de
funcionamento da solução, compatível com objeto deste Termo de Referência,
de forma a resguardar a Administração Pública quanto ao seu cumprimento, a
origem dos produtos e ao suporte das licenças ofertadas. Esta comprovação se
dará pela apresentação de autorização para comercialização, atestando a
capacidade técnica e comercial da licitante para o fornecimento dos produtos
originais, por meio de uma das formas abaixo:
a) Declaração do fabricante dos produtos atestando ao
proponente a sua condição de distribuidor;
20
b)
Declaração
do
fabricante
do
produto
atestando
ao
proponente sua condição de representante ou de revendedor;
c) Declaração do distribuidor do produto atestando ao
proponente a sua condição de representante ou de revendedor,
acrescida da declaração da alínea “a”;
d) Declaração do fabricante, no caso de produtos de
procedência
estrangeira,
acompanhada
de
tradução
juramentada para o idioma nacional, atestando ao proponente
sua condição de importador e, ainda, se for o caso, do
importador para o proponente atestando sua qualidade de
distribuidor, representante ou revendedor; e/ou,
e) Impressão de página oficial do fabricante do produto na
Internet, onde o proponente figure numa das hipóteses acima
(distribuidor, representante ou revendedor), devendo ser
informado
o
endereço
da
página
para
uma
possível
confirmação de conteúdo.
5. Serviço de garantia de funcionamento da solução
5.1. A contratada deverá disponibilizar atendimento, em língua portuguesa
(do Brasil), pelo fabricante, via DDG (Discagem Direta Gratuita) ativo
24x7 (vinte e quatro horas por dia, sete dias por semana), o qual
deverá estar disponível independente da localização física da Central
de Atendimento da solução.
5.2. A contratada deverá disponibilizar atendimento, pelo fabricante, via
Internet em padrão de alta disponibilidade (24x7), incluindo feriados
locais, nacionais e internacionais: atualização de patches e fixes,
base de conhecimento, documentação de serviço de garantia de
funcionamento da solução, geração e acompanhamento do “status”
dos chamados online.
5.3. O serviço de garantia de funcionamento da solução deverá garantir a
resolução de problemas (falhas ou mau funcionamento) das versões
instaladas nas plataformas (sistema operacional e hardware)
utilizadas pelos órgãos e entidades da PCRJ nos prazos abaixo
especificados, que serão contados a partir do registro do chamado.
21
GRAVIDADE
SINTOMAS
PRAZO DE
ATENDIMENTO
solução de proteção inoperante
1
2
3
4
nos clientes
solução operante nos clientes,
mas inoperante no servidor
solução operante mas sem
novas atualizações ou com
falhas constantes
Configurações em desacordo
com as melhores práticas
2 (dois) dias úteis
4 (quatro) dias úteis
10 (dez) dias úteis
20 (vinte) dias úteis
5.4. Nas situações em que o chamado registrado não tenha sido resolvido
por telefone na metade dos tempos descritos acima, a Contratada
deverá enviar profissional habilitado para realizar atendimento “on
site”, sendo todas as despesas provenientes deste atendimento de
responsabilidade da Contratada.
5.5. Responder, formalmente, dentro de 03 (três) dias úteis, a todas as
correspondências emitidas pela Contratante, prestando todos os
esclarecimentos solicitados.
6. Responsabilidades da contratante
6.1. Acompanhar a prestação dos serviços pela Contratada, diligenciando junto
à Contratada a resolução de eventuais problemas detectados pela IPLANRIO.
7. Critério de Julgamento
7.1. Menor preço global.
8. Qualificação Técnica
8.1. A Licitante deverá comprovar aptidão para desempenho de atividade
pertinente e compatível em características, quantidade e prazos com o
22
objeto da licitação mediante apresentação de atestado(s) fornecido(s) por
pessoas jurídicas de direito público, ou privado.
9. Forma de Pagamento
9.1. O pagamento do Contrato dar-se-á em duas parcelas iguais, anuais e
diretamente à Contratada, exceto a contratação do Engenheiro residente,
neste caso o pagamento será mensal.
10. Fiscalização e Aceite dos serviços
10.1 Caberá a Comissão de Fiscalização, formada por servidores da
Diretoria de Operações da IPLANRIO, acompanhar os serviços prestados.
10.2 O Aceite Provisório se dará no prazo de cinco dias úteis após a
implantação da solução pela Contratada.
10.3 A Aceitação Definitiva será dada pela Comissão de Fiscalização do
Contrato após o fiel e integral cumprimento do contrato.
Rio de Janeiro,
de Abril de 2015
José Raul Franco Reis
Gerente de Prospecção tecnológica
Diretoria de Tecnologia
Leonardo Cavalieri
Diretor de Tecnologia
23