CONSELHO DA JUSTIÇA FEDERAL

Setor de Clubes Esportivos Sul - Lote 09 - Trecho III - Polo 8 - Bairro Asa Sul - CEP 70200-003 - Brasília - DF - www.cjf.jus.br

MCTI - Estudos técnicos preliminares

1 Análise de Viabilidade da Contratação

1.1. Descrição da necessidade

Manter e aprimorar os controles de segurança de TI com vistas à proteção do ambiente tecnológico contra diversas ameaças externas visando preservar a confidencialidade, a integridade e a disponibilidade das informações armazenadas ou trafegadas pelo Conselho da Justiça Federal - CJF.

Sendo necessária a continuidade das soluções de segurança para proteção de perímetro atualmente utilizadas, com eventuais aprimoramentos recentes, incluindo as soluções de: Next Generation Firewall - NGFW, Web Application Firewall - WAF, concentrador de logs, concentrador de configurações e emulação de malwares em ambiente controlado (sandbox), bem como suporte técnico e garantia do fabricante.

1.2. Motivação da contratação

A Segurança da Informação tem se tornado cada vez mais importante para a imagem e para a continuidade das atividades finalísticas das instituições. Incidentes recentes ocorridos com órgãos do Poder Judiciário reforçam a necessidade de se buscar o aprimoramento dos controles de segurança de TI visando proteger o ambiente tecnológico da organização contra ameaças vindas de ambiente externo. Mantendo assim a integridade, a disponibilidade e a confidencialidade dos ambientes computacionais e dos sistemas da organização.

Neste sentido, o Conselho da Justiça Federal possui vigente o contrato CJF 047/2017 cujo objeto é a contratação de solução para gerenciamento de ameaças de segurança, contemplando o fornecimento de equipamentos, softwares e sistemas de gerenciamento da solução, com garantia de 60 (sessenta) meses e serviços de instalação, configuração, transferência de conhecimento e suporte técnico.

Dentre as soluções fornecidas neste contrato estão as ferramentas de segurança para proteção de perímetro, tais como: Next Generation Firewall (NGFW), Intrusion Prevention System (IPS), firewall de aplicações web (WAF), sandbox, filtro de conteúdo web, controle de aplicações. Ocorre que a vigência deste contrato findará em 28/01/2023 para o Lote 01 e em 05/03/2023 para o Lote 02.

Considerando a necessidade do Conselho ser capaz de regular o tráfego do CJF com outros órgãos da Poder Judiciário da União; a necessidade de impedir a transmissão e recepção de tráfego nocivo; de implementar recursos de criptografia para tunelamento em redes inseguras de comunicação (VPN); de identificar, prevenir e bloquear tentativas de intrusão; de implementar filtros de acesso à conteúdo malicioso na internet; de monitorar e regular as solicitações feitas aos sistemas do órgão publicados na internet; de prevenir a exploração de vulnerabilidades encontradas em sistemas e recursos de TI e de monitorar eventos que possam afetar a segurança cibernética da instituição; faz-se imprescindível, em razão da proximidade do término da vigência contratual corrente, uma nova contratação para renovar as licenças das soluções ou, eventualmente, substituir as soluções em uso.

1.3. Benefícios esperados

1.3.1. Benefício 1: detectar e prevenir tentativas de invasão ao ambiente computacional;

1.3.2. Benefício 2: bloquear o download de arquivos infectados por malware;

1.3.3. Benefício 3: categorizar os sites da internet e restringir categorias de sites indesejados ou maliciosos;

1.3.4. Benefício 4: dispor de mecanismos que forneçam sigilo das comunicações em conexões remotas ao ambiente de TI e na comunicação com outros órgãos e empresas;

1.3.5. Benefício 5: detectar ameaças recentemente descobertas e que ainda não possuam correção disponibilizada pelos fabricantes de tecnologia;

1.3.6. Benefício 6: proteger os sistemas publicados na internet contra ataques direcionados à aplicação;

1.3.7. Benefício 7: detectar e bloquear o tráfego de aplicativos indesejados ou maliciosos.

1.3.8. Benefício 8: proteger o órgão contra invasões mesmo em casos de comprometimentos de segurança dos dispositivos pessoais utilizados para o trabalho remoto.

1.4. Alinhamento entre a contratação e o planejamento estratégico

A contratação está alinhada com as seguintes diretrizes estratégicas aplicáveis ao Conselho da Justiça Federal:

1.4.1. Estratégia Nacional do Poder Judiciário 2021-2026 – Resolução CNJ n. 325, de 30 de junho de 2020:

·Macro desafio do Poder Judiciário: fortalecimento da estratégia nacional de TIC e de proteção de dados.

1.4.2. Estratégia Nacional de Segurança da Informação do Poder Judiciário – Resolução CNJ n. 396, de 7 de junho de 2021:

·Objetivos estratégicos: aumentar a resiliência às ameaças cibernéticas, permitir a manutenção e a continuidade dos serviços, ou o seu restabelecimento em menor tempo possível.

1.4.3. Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário 2021 – 2026 – Resolução CNJ n. 370 de 28 de janeiro de 2021:

·Objetivo estratégico: aprimorar a Segurança da Informação a Gestão de Dados.

1.4.4. Estratégia do Conselho da Justiça Federal – Portaria CJF n. 576, de 24 de junho de 2020:

·Objetivo estratégico: fortalecer a segurança da informação - promover ações que objetivam viabilizar e assegurar a disponibilidade, a integridade e a confidencialidade das informações, assim como a transparência e a proteção aos dados pessoais, desde a sua coleta até o seu processamento e o compartilhamento.

1.4.5. Plano Estratégico de Tecnologia da Informação da Justiça Federal – Resolução CJF n. 685, de 15 de dezembro de 2020:

·Objetivo estratégico: promover e fortalecer a segurança da informação digital na Justiça Federal.

1.4.6. Plano Diretor de Tecnologia da Informação 2021 – 2023 - Portaria CJF n. 600, de 11 de fevereiro de 2021:

·Iniciativa 4: Aprimorar serviços de TI do CJF.

·Iniciativa 6: Manter serviços de TI em operação.

·Iniciativa 13: Aperfeiçoar a infraestrutura de TI do CJF.

·Iniciativa 15: Aprimorar a Segurança da Informação do CJF e da JF.

1.5. Contratações correlatas e/ou interdependentes

1.5.1. Contrato CJF n. 47/2017 - Contratação de solução para o gerenciamento de ameaças de segurança para atendimento das necessidades do Conselho da Justiça Federal - CJF.

1.5.2. Contrato CJF n. 008/2020 - Serviços Gerenciados de Segurança da Informação para o Conselho de Justiça Federal – CJF.

1.5.3. Contrato CJF n. 011/2021 - Contratação de solução de segurança da informação do Conselho da Justiça Federal – CJF para proteção da Nuvem Privada da Justiça Federal - NUJUFE (Solução de Gerenciamento Unificado de Ameaças-UTM), contemplando fornecimento de equipamentos (appliances), licenciamento de software, serviços de instalação e configuração, suporte técnico e garantia para 36 (trinta e seis) meses.

1.5.4. Contrato CJF n. 012/2021 - Contratação de solução de segurança da informação do Conselho da Justiça Federal – CJF para proteção da Nuvem Privada da Justiça Federal - NUJUFE (Solução de Firewall para Aplicações WEB -WAF), contemplando fornecimento de equipamentos (appliances), licenciamento de software, serviços de instalação e configuração, suporte técnico e garantia para 36 (trinta e seis) meses.

1.6. Definição dos requisitos

1.6.1. Requisitos de negócio

1.6.1.1. Necessidade 1: Assegurar níveis de serviço adequados ao negócio.

1.6.1.2. Funcionalidade 1: Suporte técnico em regime ininterrupto (24x7) para o caso falhas e interrupções do serviço.

1.6.1.2.1. Ator Envolvido 1: Contratada.

1.6.1.2.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.2.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.2.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.2.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.3. Funcionalidade 2: Cobertura de garantia do fabricante durante todo o período de vigência do contrato.

1.6.1.3.1. Ator Envolvido 1: Contratada.

1.6.1.3.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.3.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.3.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.3.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.4. Funcionalidade 3: Solução de NGFW e WAF operando em alta disponibilidade.

1.6.1.4.1. Ator Envolvido 1: Contratada.

1.6.1.4.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.4.3. Ator Envolvido 3: Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.4.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.4.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.5. Funcionalidade 4: Gerência centralizada dos componentes de cada solução.

1.6.1.5.1. Ator Envolvido 1: Contratada.

1.6.1.5.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.5.1. Ator Envolvido 3: Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.6. Necessidade 2: Interoperabilidade entre os componentes da solução e baixo custo de administração para a equipe do CJF.

1.6.1.7. Funcionalidade 1: Equipamentos e softwares de cada solução deverão operar como uma solução integrada.

1.6.1.7.1. Ator Envolvido 1: Contratada.

1.6.1.7.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.7.3. Ator Envolvido 3: Secretaria de Tecnologia da Informação – STI.

1.6.1.7.4. Ator Envolvido 4: Conselho da Justiça Federal – CJF.

1.6.1.8. Necessidade 3: Regulação de tráfego de internet e com outros órgãos, impedindo o tráfego nocivo ou não autorizado.

1.6.1.9. Funcionalidade 1: Next-Generation Firewall.

1.6.1.9.1. Ator Envolvido 1: Contratada.

1.6.1.9.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.9.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.9.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.9.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.10. Funcionalidade 2: Implementar recursos de criptografia para tunelamento de comunicações com os clientes e outros órgãos (VPN).

1.6.1.10.1. Ator Envolvido 1: Contratada.

1.6.1.10.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.10.3. Ator Envolvido 3: Secretaria de Tecnologia da Informação – STI.

1.6.1.10.4. Ator Envolvido 4: Conselho da Justiça Federal – CJF.

1.6.1.11. Necessidade 4: Utilização de mecanismos de prevenção de intrusão ao ambiente tecnológico do CJF.

1.6.1.12. Funcionalidade 1: Implementar tecnologias de detecção e bloqueio de intrusão (IPS) por meio de assinaturas e por análise de comportamento em topologia in-line.

1.6.1.12.1. Ator Envolvido 1: Contratada.

1.6.1.12.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.12.3. Ator Envolvido 3: Secretaria de Tecnologia da Informação – STI.

1.6.1.12.4. Ator Envolvido 4: Conselho da Justiça Federal – CJF.

1.6.1.13. Necessidade 5: Capacidade de analisar e bloquear os acessos feitos pelos usuários do CJF à websites maliciosos ou indesejados.

1.6.1.14. Funcionalidade 1: Funcionalidade de proxy com categorização e filtro de conteúdo da internet.

1.6.1.14.1. Ator Envolvido 1: Contratada.

1.6.1.14.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.14.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.14.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.14.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.15. Funcionalidade 2: Integração com a ferramenta de autenticação, autorização de usuários Microsoft Active Directory.

1.6.1.15.1. Ator Envolvido 1: Contratada.

1.6.1.15.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.15.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.15.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.15.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.16. Necessidade 6: Proteger os serviços e sistemas publicados na internet contra ataques maliciosos em camada de aplicação.

1.6.1.17. Funcionalidade 1: Firewall de aplicação web.

1.6.1.17.1. Ator Envolvido 1: Contratada.

1.6.1.17.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.17.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.17.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.17.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.1.18. Necessidade 7: Proteger o órgão contra ataques avançados persistentes ou zero-day.

1.6.1.19. Funcionalidade 1: Emulação da execução de arquivos e acessos em links de e-mail, em ambiente controlado (sandbox), para identificação de comportamentos maliciosos ou suspeitos

1.6.1.19.1. Ator Envolvido 1: Contratada.

1.6.1.19.2. Ator Envolvido 2: Subsecretaria de Segurança da Tecnologia da Informação - SUSTI.

1.6.1.19.3. Ator Envolvido 3: Subsecretaria de Tecnologia – SUTEC.

1.6.1.19.4. Ator Envolvido 4: Secretaria de Tecnologia da Informação – STI.

1.6.1.19.5. Ator Envolvido 5: Conselho da Justiça Federal – CJF.

1.6.2. Requisitos de suporte

1.6.2.1. Será prestado suporte técnico em regime ininterrupto (24x7) para o caso de falhas e interrupções do serviço, com direito a atualizações de versões da solução que incorporem correções de defeitos e melhorias implementadas pelo fabricante.

1.6.3. Requisitos de capacitação

1.6.3.1. Necessidade 1: Não há.

1.6.3.2. Descrição 1: os equipamentos já estão em uso no CJF e, portanto, não há necessidade de adequação.

1.6.4. Requisitos de sustentabilidade

1.6.4.1. A CONTRATADA será responsabilizada por qualquer prejuízo que venha causar ao CJF em virtude de ter suas atividades suspensas, paralisadas ou proibidas por falta de cumprimento de normas ambientais ligadas aos serviços e produtos objeto do presente Termo de Referência.

1.6.4.2. A CONTRATADA deverá atender aos requisitos previstos no Manual de Sustentabilidade nas Compras e Contratações do CJF, instituído pela Portaria CJF n. 323, de 14 de agosto de 2020.

1.6.4.3. CONTRATADA deverá respeitar a legislação vigente e as normas A CONTRATADA deverá fornecer, sem ônus para o Contratante, os equipamentos de segurança e proteção individual que se fizerem necessários para a execução dos serviços, conforme disposto no art. 6º, inciso IV, da Instrução Normativa SLTI/MPOG n. 01, de 19 de janeiro de 2010.

1.6.4.4. A CONTRATADA deverá respeitar a legislação vigente e as técnicas, elaboradas pela ABNT e pelo INMETRO para aferição e garantia de aplicação dos requisitos mínimos de qualidade, segurança e acessibilidade dos serviços e produtos elencados neste Termo de Referência.

1.6.5. Requisitos legais e normativos aplicáveis ao objeto da contratação

1.6.5.1. Requisito 1: A Resolução CJF n. 6, de 7 de abril de 2008, alterada pela Resolução CF n. 687, de 15 de dezembro de 2020, que dispõe sobre a implantação da Política de Segurança da Informação do Conselho e da Justiça Federal de 1º e 2º graus.

1.6.5.2. Requisito 2: A Resolução CJF n. 668, de 09 de novembro de 2020, que dispõe Estratégia do Conselho da Justiça Federal: “Fortalecer a Segurança da Informação e promover ações que assegurem a disponibilidade, a integridade e a confidencialidade das informações, assim como a transparência e a proteção aos dados pessoais, desde a sua coleta até o seu processamento e o compartilhamento.”

1.6.5.3. Requisito 3: A Resolução CJF n. 685, de 15 de dezembro de 2020, que dispõe sobre o Planejamento Estratégico de Tecnologia da Informação (PETI) da Justiça Federal 2021/2026, estabelece o objetivo estratégico de promover e fortalecer a segurança da informação digital na Justiça Federal.

1.6.5.4. Requisito 4: A portaria CJF n. 62, de 1º de março de 2021, que dispõe sobre o Plano Anual de Contratações - 2022 - Conselho da Justiça Federal.

1.6.5.5. Requisito 5: A Portaria CJF n. 413, de 30 de setembro de 2014, que dispõe sobre a aprovação da Política de Controle Acesso Lógico, que veda a utilização de identificação genérica e de uso compartilhado para acesso aos recursos de rede.

1.6.6. Requisitos de confidencialidade

1.6.6.1. Requisito 1: A contratada e os prestadores de serviço deverão se comprometer a manter a confidencialidade e o sigilo de todas as informações restritas do contratante.

1.6.7. Requisitos temporais

1.6.7.1. Requisito 1: A entrega da solução deverá ocorrer no prazo estipulado em contrato.

1.6.7.2. Requisito 2: A contratada deverá assumir integralmente o suporte e garantia dos produtos descritos imediatamente após a emissão do Termo de Recebimento Definitivo da solução.

1.6.8. Requisitos de Segurança

1.6.8.1. Requisito 1: Durante a prestação dos serviços a contratada deverá seguir a Política de Segurança e as normas de segurança emitidas pelo Comitê de Segurança da Informação da Justiça Federal – CSI-JUS e pela Comissão Local de Segurança da Informação, bem como os procedimentos da unidade.

1.7. Alternativas de soluções e análise de mercado de Tecnologia da Informação e Comunicação

1.7.1. Alternativa 1: Contratar extensão de garantia e suporte técnico para os produtos em utilização

Nesta alternativa serão contratados garantia e suporte técnico para as soluções atualmente em uso no CJF, garantindo que todos os equipamentos permanecerão suportados pelo fabricante até o fim de sua vida útil.

1.7.1.1. Solução 1: Licitação nominada de licenças das soluções FortiGate, FortiWeb, FortiAnalyzer, FortiManager, FortiSandbox em uso no CJF.

1.7.1.2. Custo estimado:

1.7.1.2.1. Opção 1 - pagamento em parcela única após a entrega: R$ 3.502.940,00 contemplando manutenção, garantia e suporte técnico por 36 meses.

1.7.1.2.2. Opção 2 – pagamento em 3 parcela anuais: R$ 3.953.505,00 contemplando manutenção, garantia e suporte técnico por 36 meses

1.7.1.2.3. Opção 3 – pagamento em 36 parcelas mensais: R$ 4.430.608,00

1.7.1.3. Análise: Neste cenário são renovadas as licenças dos atuais produtos em uso (FortiGate, FortiWeb, FortiAnalyzer, FortiManager, FortiSandbox) com a inclusão de algumas poucas novas funcionalidades adicionais necessárias para a manutenção da eficiência técnica das soluções. Como os equipamentos FortiGate 1500D e FortiWeb 2000E já entraram em ciclo de fim de vida e encerrarão o período de suporte do fabricante em 31/12/2026 e 13/01/2027, respectivamente, e que as licenças são compradas anualmente, a contratação deverá ser realizada pelo período de 36 meses. Neste cenário existe o risco de que novas versões de firmware não suportem as versões mais antigas de equipamentos, inviabilizando a utilização de novas funcionalidades que eventualmente venham a ser ofertadas. Nesta alternativa somente o fabricante Fortinet participaria da licitação e a competição ocorrerá entre os fornecedores do fabricante.

1.7.2. Alternativa 2: Adquirir novas soluções de segurança de perímetro

Aquisição de novas soluções de segurança em virtude dos equipamentos atualmente em uso terem entrado em fim de vida, não estarem sendo comercializados e de se aproximarem o período de fim de suporte do fabricante.

1.7.2.1. Solução 2: Licitação em que todos os fabricantes devam fornecer produtos iguais ou superiores aos utilizados pelo contratante em conformidade com as especificações técnicas do Termo de Referência.

1.7.2.2. Custo Estimado: R$ 7.300.000,00 (60 meses).

1.7.2.3. Análise: Nesta alternativa o fabricante fornecedor das soluções em uso e seus concorrentes devem fornecer equipamentos novos e de primeiro uso e que não estejam em ciclo de fim de vida, permitindo uma contratação com maior período de vigência, no caso, 60 meses, garantindo a absorção de todas as novas funcionalidades que venham a ser lançadas em versões futuras de firmware. Esta alternativa representaria um custo maior de contratação em razão da substituição dos equipamentos antes do término do fim de sua vida útil, porém, em razão da participação de outros fabricantes, o custo de substituição dos equipamentos poderia ser minorado pela competividade entre os fabricantes. Neste cenário o contrato precisa ser de 60 meses.

1.8. Análise e comparação entre as estimativas de custos totais das soluções de TIC (art. 14, III)

A alternativa considerada viável é a Alternativa 1: Contratar extensão de garantia e suporte técnico para os produtos em utilização, conforme justificativa da escolha da alternativa de solução a contratar, onde o custo estimado é de R$ 3.500.000, para 36 meses.

1.9. Justificativa da escolha da alternativa de solução a contratar

1.9.1. Alternativa/Solução escolhida: Alternativa 1: contratar extensão de garantia e suporte técnico para os produtos em utilização

1.9.1.1. Bem/Serviço: Renovação de garantia e suporte técnico para as soluções de segurança de perímetro.

1.9.1.2. Nome: Alternativa: Extensão do período de garantia e suporte técnico para as soluções de segurança de perímetro do Conselho da Justiça Federal.

1.9.1.3. Custo estimado: R$ 3.500.000,00.

1.9.2. Justificativa: Como visto no levantamento realizado para a alternativa 2, os custos de aquisição de novas soluções de segurança são superiores a estender a garantia e suporte técnico das soluções já existentes. Ademais, quando da elaboração da proposta orçamentária de 2022 não se tinha conhecimento de que os equipamentos em uso no CJF entrariam em ciclo de fim de vida. Desta forma, não foi previsto montante suficiente para a troca completa das soluções, restando viável a racionalização do investimento já feito anteriormente e a utilização dos equipamentos até o fim de sua vida útil.

1.9.3. Justificativa quanto ao pagamento à vista: Conforme demonstrado pelas propostas de preço, fica demonstrado a vantajosidade de realizar o pagamento da contratação em pagamento único. O valor da modalidade de pagamento em parcela única após a entrega é 11% menor do que o pagamento em 3 parcelas anuais e 26 % menor do que o pagamento em 36 parcelas mensais.

Entende-se também, quanto ao pagamento à vista, não se tratando, neste caso, de pagamento antecipado, uma vez que o objeto será 100% entregue, validado pelo contratante e prestado durante 36 meses pela contratada. Ademais, a efetiva demonstração do fornecimento das licenças de software e de aquisição de suporte técnico do fabricante pelo período total da contratação é condição para a emissão do Termo de Recebimento Definitivo, não caracterizando prestação antecipada dos serviços, como bem diz o TCU no Acórdão nº 2569/2018 – Plenário.

1. “O Tribunal de Contas da União, ao elaborar o Manual de Licitações e contratos: orientações e jurisprudência do TCU, orientou no sentido de ser possível pagamento único, quando houver contrapartida na forma de desconto:

1. Nada obstante, o ato convocatório da licitação e o contrato poderão autorizar antecipação de pagamento em duas situações, devidamente justificadas. A primeira, prevista no art. 40, inciso XIV, alínea d, da Lei nº 8.666/1993, relaciona-se à possibilidade de a Administração eventualmente antecipar o cronograma de pagamento, referente a etapas ou parcelas já executadas, quando houver contrapartida sob forma de desconto previsto no edital. A segunda, que independe de liquidação da despesa, decorre de situações fáticas ou mercadológicas especiais e excepcionalíssimas. Nesse caso, para que a Administração não corra risco de responder por qualquer prejuízo, o pagamento antecipado deverá estar condicionado à prestação de garantia efetiva, idônea e suficiente para a cobertura do montante antecipado a título de pagamento, na forma previamente estabelecida no ato convocatório da licitação ou nos instrumentos formais de contratação direta, e no contrato. Antecipação de pagamento não é regra. É exceção.”

1.10. Descrição da solução de TI a contratar como um todo

Contratação de empresa especializada para extensão de garantia do fabricante, serviços de atualização e suporte técnico, manutenção corretiva e preventiva das soluções de segurança perímetro do Conselho da Justiça Federal pelo prazo de 36 meses.

1.11. Relação entre a demanda prevista e a quantidade dos bens e/ou serviços a serem contratados

As soluções abrangem licenciamento para as soluções FortiGate, FortiWeb, FortiAnalyzer, FortiManager, FortiSandbox.

O serviço de suporte técnico mensal está dimensionado para atendimento durante toda a vigência do contrato.

1.12. Estimativa preliminar do custo total da contratação

1.13. Necessidades de adequação do ambiente do órgão para viabilizar a execução contratual

1.13.1. Necessidade 1: Não há.

1.13.1.1. Descrição 1: os equipamentos já estão em uso no CJF e, portanto, não há necessidade de adequação.

2 Sustentação do Contrato

2.1. Recursos materiais e humanos necessários à execução contratual

2.1.1. Recursos Materiais

2.1.1.1. Recurso 1: Orçamento

2.1.1.1.1. Quantidade: aproximadamente R$ 3.500.000,00.

2.1.1.1.2. Disponibilidade: Contínua

2.1.1.1.3. Ação para Obtenção do Recurso: Priorizar a contratação da solução no Plano de Ação 2022 e prever o recurso orçamentário para continuidade da execução contratual dos serviços de suporte técnico.

2.1.1.1.4. Responsável: Secretário de TI.

2.1.2. Recursos Humanos

2.1.2.1. Recurso 1:

2.1.2.1.1. Função: Unidades envolvidas no processo licitatório

2.1.2.1.2. Atribuições: Contratar a solução antes do recesso em dezembro de 2022 para que não haja descontinuidade na proteção de perímetro do CJF, pois o contrato atual finda em 28/01/2023 para o Lote 01 e 05/03/2023 para o Lote 02.

2.1.2.2. Recurso 2:

2.1.2.2.1. Função: Secretaria de Tecnologia da Informação e Secretaria de Administração.

2.1.2.2.2. Atribuições: Acompanhar os prazos da vigência contratual e processar as renovações conforme documentação apresentada pela empresa e gestor do contrato.

2.1.2.3. Recurso 3:

2.1.2.3.1. Função: Gestor do Contrato.

2.1.2.3.2. Formação: Capacitação em gerenciamento de contratos.

2.1.2.3.3. Atribuições: Gerenciar o contrato e atestar a execução dos serviços.

2.1.2.3.4. Hora/ Semestre: 104 horas por semestre (4h por semana).

2.1.2.4. Recurso 4:

2.1.2.4.1. Função: Fiscal Técnico

2.1.2.4.2. Formação: Técnica e operacional nos serviços objeto da contratação.

2.1.2.4.3. Atribuições: Fiscalizar se as atividades estão sendo executadas conforme descrito no contrato e se os níveis de serviço estão sendo respeitados.

2.1.2.4.4. Hora/ Semestre: 120 horas por semestre (5h por semana).

2.1.2.5. Recurso 5:

2.1.2.5.1. Função: Fiscal Administrativo

2.1.2.5.2. Formação: Administrativa.

2.1.2.5.3. Atribuições: Fiscalizar o contrato quanto aos aspectos administrativos.

2.1.2.5.4. Hora/ Semestre: 24 horas por semestre (1h por semana).

2.2. Continuidade do fornecimento da solução de TIC em eventual interrupção contratual

2.2.1. Evento: Indisponibilidade orçamentária

2.2.1.1. Ação de Contingência: Remanejar o orçamento para atender a manutenção de atividade continuada.

2.2.1.2. Responsável: STI, SAD.

2.2.2. Evento: Rescisão contratual após má prestação dos serviços

2.2.2.1. Ação de Contingência: Manter o termo de referência atualizado; Contratação emergencial; Realização de nova licitação.

2.2.2.2. Responsável: Gestor do contrato, Fiscal Técnico, STI e SAD

2.2.3. Evento 3: Fracasso do processo licitatório

2.2.3.1. Ação de Contingência: Análise do resultado e execução de nova licitação.

2.2.3.2. Responsável: STI e SAD.

2.2.4. Evento 4: Falência da contratada:

2.2.4.1. Ação de Contingência: Iniciar a contratação de nova prestadora de serviços de forma emergencial, até a finalização de novo processo de contratação e licitação dos serviços.

2.2.4.2. Responsável: STI e SAD.

2.3. Atividades de transição contratual e de encerramento do contrato

2.3.1. Atividade: Em razão do término de vigência do contrato, avaliar se será contratado suporte técnico para a solução ou se será realizada nova aquisição em razão de alguma nova tecnologia que possa existir à época e que seja requisito para continuidade das atividades de segurança de perímetro e de datacenter.

2.3.1.1. Responsável: Gestor do contrato, integrante requisitante e fiscais técnicos.

2.3.1.2. Data início: 1 ano antes do encerramento contratual.

2.3.1.3. Data término: 6 meses antes da vigência contratual.

2.4. Estratégia de independência do órgão

2.4.1. Transferência de Conhecimento:

2.4.1.1. Item 1: Manutenção de base de conhecimento.

2.4.1.1.1. Forma de Transferência do Conhecimento: Realizar a documentação dos procedimentos realizados durante a implantação da solução em base de conhecimento do CONTRATANTE.

3 Estratégia para a Contratação

3.1. Definição do objeto

Contratação de extensão de garantia do fabricante, serviços de atualização e suporte técnico, manutenção corretiva e preventiva das soluções de segurança perímetro pelo prazo de 36 meses de extensão de garantia para os produtos em utilização, incluindo os serviços de suporte técnico e garantia do fabricante.

3.2. Natureza do objeto com a indicação dos elementos necessários para caracterizar o bem e/ou serviço a ser contratado (art. 16, I)

3.2.1. É possível especificar o serviço usando parâmetros usuais de mercado? SIM

3.2.2. É possível medir o desempenho da qualidade usando parâmetros usuais de mercado? SIM

3.2.3. O objeto da contratação se estende necessariamente por mais de um ano? SIM

3.2.4. O objeto da contratação é essencial para o negócio? SIM

3.3. Justificativa para o parcelamento ou não do objeto

3.3.1. Trata-se de uma solução integrada de segurança de perímetro, sendo declarada vencedora a empresa que apresentar o menor preço global, desde que respeitados os critérios de habilitação.

3.3.2. Quanto ao parcelamento do objeto, existe a necessidade de integração e forte interdependência entre as soluções de segurança FortiGate, FortiAnalyzer, FortiSandbox e FortiManager. Quanto a integração da solução FortiWeb, salienta-se que a presente contratação consistirá na extensão de garantia e suporte técnico dos produtos em uso no órgão, que pertencem ao mesmo fabricante e que atualmente estes produtos já fazem parte de um mesmo contrato.

3.3.3. Deste modo, a adjudicação do objeto ao licitante por item único (menor preço global) está pautada na necessidade de prestação de serviços a partir da contratação de um único fornecedor, facilitando a gestão do contrato, uma vez que a prestação de tal serviço, desmembrada por mais de uma empresa, acarretaria elevado custo de administração e uma coordenação complexa entre os fornecedores, de forma que comprometeria a qualidade e efetividade dos resultados para o CJF.

3.3.4. Neste sentido, um único fornecedor torna-se responsável pela integração de todos os componentes e pela manutenção da estabilidade e operacionalidade de toda a solução, sendo o parcelamento uma alternativa inviável. A Administração ganha em capacidade de gestão do contrato e em agilidade na resolução dos problemas advindos de falhas das soluções ou outros eventos relacionados ao contrato.

3.4. Modalidade e o tipo de licitação com a justificativa para as escolhas

O objeto da presente contratação pode ser objetivamente especificado por meio de padrões usuais de mercado. Desta forma, é classificado como serviço comum, nos termos do parágrafo único do art. 1º da Lei 10.520, de 17 de julho de 2002 a art. 3º do Decreto 10.024/2019.

Desse modo, fica definida como forma de seleção do fornecedor LICITAÇÃO na modalidade PREGÃO ELETRÔNICO do tipo MENOR PREÇO GLOBAL.

3.5. Classificação orçamentária e fonte de recurso

3.5.1. Classificação orçamentária estimada: R$ 3.500.000,00

3.5.2. Fonte de Recursos (Programa/Ação): AI

3.5.3. Estimativa de Impacto Econômico-Financeiro:

3.5.3.1. Exercício 2022: R$ 3.500.000,00

3.5.3.2. Percentual: 100%.

3.6. Vigência

3.6.1. A vigência do contrato será de:

3.6.1.1. Até 30 dias corridos contados da assinatura do contrato, para a etapa de entrega pela contratada da comprovação de extensão da garantia adquirida no site do fabricante do equipamento, emissão do TRP (Termo de Recebimento Provisório) e emissão do TRD (Termo de Recebimento Definitivo);

3.6.1.2. A vigência do contrato será de 36 (trinta e seis) meses, improrrogáveis e irreajustáveis, contados de 06/03/2023 juntamente com o Termo de Recebimento Definitivo (TRD), referente aos serviços de garantia e suporte técnico da solução de segurança, relativo aos serviços de natureza contínua desta contratação.na forma do art. 57, § 1º, da Lei nº 8.666/93.

3.6.2. Justificativa para o período de vigência contratual

3.6.2.1. A contratação pelo período de 36 meses se faz necessária para possibilitar que este serviço crítico e essencial para continuidade do negócio seja prestado de maneira continuada. As possíveis interrupções contratuais causadas por eventual falta de interesse da CONTRATADA na renovação contratual, geralmente causadas por dificuldades na manutenção dos preços das licenças em virtude de elevação da cotação do dólar, e a necessidade de se fazer novas licitações em curto prazo de tempo, elevam sobremaneira o risco de interrupção contratual e de falta de suporte da solução. Tais fatores aumentam o risco de indisponibilidade de serviços críticos de TI indispensáveis para o próprio funcionamento do órgão.

3.6.2.2. No aspecto financeiro, o período maior de licenciamento possibilita um ganho de escala resulta em maiores descontos por parte dos fabricantes das soluções, conforme demonstrado na análise das alternativas.

3.6.2.3. O contrato com período de vigência ampliado contribui também para que a contratação possa ser considerada mais atrativa pelo mercado, em razão da uma maior diluição do investimento realizado em caso do eventual fornecimento de equipamentos da solução. Resultando na redução do preço final proposto pelas licitantes do certame, favorecendo ampliação da competitividade e economicidade da contratação.

3.6.2.4. Quanto à caracterização de serviço essencial e de natureza contínua, na ausência de normativo próprio pelo CJF, propõe-se a utilização da Instrução Normativa STJ/GDG N. 10 de 28 de abril de 2022. Neste normativo são descritos os serviços que devem ser prestados de forma contínua e aqueles que, pela sua essencialidade, visam atender à necessidade pública de maneira permanente e contínua, por mais de um exercício financeiro, assegurando a integridade do patrimônio público ou o funcionamento das atividades finalísticas do órgão, de modo que sua interrupção pode comprometer a prestação de um serviço público ou o cumprimento da missão institucional. Sendo caracterizados nesta contração o previsto no Art. 4º:

Art. 4º Ficam definidos, como serviços prestados de forma contínua ou serviços prestados de forma contínua no regime de dedicação exclusiva de mão de obra, os seguintes:

(...)

XV – gerenciamento de serviços corporativos de TIC;

XXIII – manutenção preditiva, preventiva, corretiva, operação, suporte e/ou atualização do sistema, no que couber, de:

(...)

f) equipamentos elétricos, eletrônicos, eletroeletrônicos e de TIC;

(...)

k) softwares e serviços de TIC.

3.6.2.5. Assim sendo, a Equipe de Planejamento da Contratação entende que estamos diante de um serviço de natureza continuada e que, em razão da peculiaridade e criticidade das soluções, à bem da necessidade pública permanente e contínua, necessária para o funcionamento das atividades finalísticas do CJF por mais de um exercício financeiro, fica demonstrado o benefício para a Administração, nos termos da ON n. 38/2011 AGU

3.7. Dinâmica de execução contratual

3.7.1. Procedimentos

3.7.1.1. O CONTRATANTE realizará a abertura de chamados técnicos de suporte por meio de ligação telefônica ou via Internet, em período integral, 24 (vinte e quatro) horas por dia, 07 (sete) dias por semana.

3.7.1.2. A CONTRATADA deverá informar o procedimento para abertura de chamado técnico de suporte.

3.7.1.3. Se a Central de Suporte estiver localizada fora de Brasília, a CONTRATADA deverá informar o DDG (discagem direta gratuita 0800). O acesso à área restrita de suporte em endereço eletrônico (web site) deverá estar disponível, também, 24 (vinte e quatro) horas por dia, 07 (sete) dias por semana.

3.7.1.4. Quando da abertura de chamado técnico de suporte pelo CONTRATANTE, a CONTRATADA deverá informar o número do chamado, para fins de controle.

3.7.1.5. A CONTRATADA deverá enviar mensalmente, ou disponibilizar acesso por meio de portal internet, até o quinto dia útil do mês seguinte, relação consolidada dos chamados abertos no mês, mencionando: data e hora de abertura do chamado técnico, número do chamado técnico, problemas verificados, técnico responsável pelo atendimento.

3.7.1.6. A CONTRATADA deverá disponibilizar acesso total ao conteúdo presente em área restrita de suporte no endereço eletrônico (web site) para todos os produtos que compõem a solução, contemplando toda a documentação técnica (guias de instalação/configuração atualizados, FAQ’s, com pesquisa efetuada através de ferramentas de busca) e atualizações.

3.7.1.7. A CONTRATADA deverá realizar a cada ocorrência, como escopo das atividades de visitas técnicas preventivas, as tarefas de coleta e análise de logs dos produtos, realizar o levantamento de configurações aplicadas nos equipamentos e softwares que compõe a solução integrada de segurança, buscando compará-las às melhores práticas e recomendações dos fabricantes, avaliar aspectos de segurança e desempenho da solução, finalizando com a elaboração de relatório técnico com as informações coletadas e as recomendações a serem aplicadas à solução.

3.7.1.8. As visitas técnicas preventivas deverão ser realizadas por técnico(s) plenamente qualificado(s) nas áreas de gerenciamento de ameaças, análise de vulnerabilidades e firewall de aplicação, devendo possuir certificação emitida pelos fabricantes dos equipamentos e softwares da solução ofertada. As visitas técnicas serão prestadas com acompanhamento da equipe técnica do CJF.

3.7.1.9. A contagem de prazo para a realização das visitas técnicas preventivas será iniciada após emissão do Termo de Recebimento Definitivo da solução, devendo ocorrer automaticamente em dia e hora previamente agendada com o CJF e serão consideradas concluídas após o entrega do relatório técnico de atendimento e aceite pelo CJF. A cada visita deverá ser gerado relatório técnico com sugestões e ajustes para a melhoria de desempenho, aplicação de funcionalidade e revisão dos aspectos de segurança a ser entregue em até 2 dias úteis da realização da visita técnica.

3.7.1.10. A CONTRATADA deverá prestar as informações e os esclarecimentos que venham a ser solicitados pelos técnicos do CJF, em relação à instalação, configuração e problemas detectados, atendendo de imediato as solicitações.

3.7.2. Instrumentos formais para fornecimento do objeto

3.7.2.1. Todas as requisições de execução de serviço serão formalizadas pelo CONTRATANTE à CONTRATADA por meio de Ordem de Serviço;

3.7.2.2. Para todos os efeitos, serão considerados como “Ordem de Serviço” todos os chamados de suporte corretivo, abertos manualmente ou automaticamente pelo serviço de monitoramento proativo, solicitações de serviços e pedidos encaminhados por e-mail, contato telefônico ou outros meios acordados entre as partes.

3.7.3. Prazos de execução

3.7.3.1. O prazo para a entrega do objeto (comprovação da extensão de garantia da solução junto ao fabricante) será de 15 (quinze) dias corridos, a contar da assinatura do contrato.

3.7.3.2. Serão considerados injustificados os atrasos não comunicados tempestivamente e indevidamente fundamentados, e a aceitação da justificativa ficará a critério do CONTRATANTE.

3.7.3.3. Havendo pedido de prorrogação do prazo de entrega, a eventual concessão ocorrerá somente nas hipóteses previstas no Art. 57, §1°, da Lei nº 8.666/93, em caráter excepcional e sem efeito suspensivo, e deverá ser encaminhado por escrito, com antecedência mínima de 1 (um) dia do seu vencimento, anexando-se documento comprobatório do alegado pela CONTRATADA.

3.7.3.4. Eventual pedido de prorrogação deverá ser encaminhado ao CJF preferencialmente na forma eletrônica.

3.7.3.5. Em casos excepcionais, autorizados pelo CONTRATANTE, o documento comprobatório do alegado poderá acompanhar a entrega do produto.

3.7.4. Níveis mínimos de serviço

3.7.4.1. Quando da abertura de chamado técnico de suporte, os chamados deverão ser categorizados em 3 (três) níveis, da seguinte forma:

3.7.5. Forma de comunicação

3.7.5.1. Função: recebimento provisório e definitivo do objeto.

3.7.5.1.1. Forma de comunicação: documento de recebimento provisório e definitivo.

3.7.5.1.2. Meio utilizado: e-mail.

3.7.5.1.3. Responsável pela comunicação: equipe de fiscalização do contrato.

3.7.5.1.4. Destinatário: preposto da CONTRATADA.

3.7.5.1.5. Periodicidade: nas ocasiões em que o objeto foi entregue.

3.7.5.2. Função: resolução de questões contratuais de qualquer natureza

3.7.5.2.1. Forma de comunicação: ofício.

3.7.5.2.2. Meio utilizado: e-mail.

3.7.5.2.3. Responsável pela comunicação: gestor do contrato.

3.7.5.2.4. Destinatário: preposto da CONTRATADA.

3.7.5.2.5. Periodicidade: na ocorrência de questões contratuais a serem resolvidas.

3.8. Recebimento do objeto

3.8.1. Em conformidade com os artigos 73 a 76 da Lei n.º 8.666/93, o objeto deste contrato será aceito:

3.8.1.1. Provisoriamente, em até 5 (cinco) dias corridos após a comunicação pela CONTRATADA da entrega do objeto (comprovação da extensão de garantia da solução junto ao fabricante), para efeito de posterior verificação de sua conformidade;

3.8.1.2. Definitivamente, mediante Termo de Recebimento Definitivo, em até 5 (cinco) dias corridos, a partir do Termo de Recebimento Provisório, após validação do objeto pela equipe de contratação.

3.8.2. Após o recebimento provisório, a fiscalização avaliará as características do objeto, identificando eventuais problemas. Estando em conformidade, será efetuado o Recebimento Definitivo.

3.8.3. Se, após o aceite provisório, constatar-se que o objeto foi entregue em desacordo com o contrato ou com a proposta, com incorreção, ou incompleto, serão interrompidos os prazos de recebimento e suspenso o pagamento após a notificação por escrito à Contratada, condição que será mantida até o saneamento da situação.

3.8.4. O aceite provisório ou definitivo não exclui a responsabilidade civil pela solidez e segurança do serviço, nem a ético-profissional pela perfeita execução do contrato, dentro dos limites estabelecidos pela lei ou pelo contrato.

4 Declaração de viabilidade da contratação

4.1 A contratação pretendida é viável, consoante demonstrado nos estudos preliminares.

5 Equipe de Planejamento e Apoio a Contratação – EPAC

5.1 O presente Estudo Técnico Preliminar foi elaborado pela Equipe de Planejamento e Apoio a Contratação identificada adiante e os aspectos administrativos da contratação foram devidamente verificados pelo integrante administrativo e aprovados pela(s) autoridade(s) administrativa(s) competente.

Integrante Requisitante: RENATO SOLIMAR ALVES, matrícula 673, da Secretaria de Tecnologia da Informação;

Integrante Técnico (Titular): NÉLIO ALVES DA SILVA, matrícula 999, da Secretaria de Tecnologia da Informação;

Integrante Técnico (Suplente): COSME DIEGO DA SILVA AUGUSTO, matrícula 957, da Secretaria de Tecnologia da Informação;

Integrante Administrativo (Titular): CELIA REGINA CÉSAR SILVA, matrícula 1005, da Secretaria de Administração.

Integrante Administrativo (Suplente): ANDRÉ ARGOLO DINIZ DE CARVALHO, matrícula 993, da Secretaria de Administração;

---

Autenticado eletronicamente por Nélio Alves da Silva, Chefe - Seção de Segurança de Rede, em exercício, em 12/09/2022, às 16:04, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

---

Autenticado eletronicamente por Renato Solimar Alves, Subsecretário(a) - Subsecretaria de Segurança da Tecnologia da Informação, em 12/09/2022, às 16:13, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

---

Autenticado eletronicamente por Célia Regina César Silva, Chefe - Seção de Apoio ao Planejamento das Contratações, em 13/09/2022, às 10:57, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

---

A autenticidade do documento pode ser conferida no site https://sei.cjf.jus.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0382872 e o código CRC 542A4085.

---