Descrição

Material/Humano

Próprio / A ser contratado

Área Responsável

Equipe técnica para  acompanhar instalação e aceite das licenças

Humano

Próprio

           CODAD

Equipe técnica para  configuração, operação e monitoramento

Humano

Próprio

          CODAD

Gerenciamento da Garantia

Humano

Próprio

          CODAD

Em caso de interrupção contratual, descreva como serão afetados os serviços prestados pelo Tribunal:

O Oracle Database é parte integrante da maioria das soluções da Justiça Eleitoral.  Essa contratação agrega funcionalidades de segurança.  Por se tratar de um licenciamento perpétuo,  a eventual interrupção contratual,  restringiria-se ao serviço de suporte e portanto a dificuldades maiores na solução de algum problema apresentado.

Ações de contingência e seus respectivos responsáveis:

Desabilitar os mecanismos de segurança acrescidos pelo licenciamento, sem prejuízo à operação do banco de dados.

Unidade Responsável: CODAD

(X) Serviços 

Com que antecedência o gestor do contrato deverá analisar a possibilidade e o interesse da administração na prorrogação do contrato ou na eventual condução de uma nova contratação?

 18 meses

No caso de uma nova contratação, qual o tempo necessário de sobreposição contratual a fim de viabilizar a transferência de conhecimento, sem prejuízos ao Tribunal?

Não necessário

( )  Equipamentos

Com que antecedência o gestor do contrato deverá analisar a necessidade e conveniência da contratação de serviços de manutenção ou da substituição dos equipamentos, de acordo com o critério vigente no Tribunal em relação à manutenção e atualização do parque de equipamentos?

  (  )  Entrega de versões finais dos produtos

  (  ) Transferência final de conhecimentos sobre a execução e a manutenção da solução de TI

  (  ) Devolução de recursos materiais

  (  ) Revogação de perfis de acesso

  (  ) Eliminação de caixas postais

  (  ) Outras:

 ( X ) Transferência de Conhecimento 

A transferência de conhecimento se dará através de acompanhamento dos serviços de suporte e configuração.

(  ) Direitos de Propriedade Intelectual e Direitos Autorais

Pertencerão exclusivamente ao Tribunal os direitos relativos aos produtos desenvolvidos e elaborados para a prestação do objeto, sendo vedada sua reprodução, transmissão e/ou divulgação sem o seu respectivo consentimento.

  ( X ) Durante a prestação do objeto, a Contratada deverá observar as Políticas de Controle de Acesso definidas pelo Tribunal.

  ( X ) A contratada deverá firmar Termo de Compromisso com a Segurança da Informação conforme padrão do TRE.

PAULO CEZAR RODRIGUES DA SLVA

Integrante Demandante

ANDSON DE LIMA GOMES

Integrante Técnico

JECKSON SOUZA CRUZ

Integrante Administrativo

Tipo:

(X) Risco da Solução de TIC

(  ) Risco do Processo de Contratação

(   ) Risco da Solução de TIC

( X ) Risco do Processo de Contratação

Probabilidade:

( X ) Baixa  (   ) Média (   ) Alta

( X ) Baixa  (   ) Média (   ) Alta

Dano Potencial:

- Diminuição no desempenho do banco de dados;

- Perda de dados.

- Perda da efetividade da solução decorrente da obsolescência.

Ação Preventiva e Responsável:

Planejar a contratação considerando a disponibilidade da equipe técnica.

Elaborar plano de instalação.

Responsáveis: SGAD e CODAD

- Acrescentar ação específica para  a demanda no PDTIC, com a consequente inclusão das renovações de suporte necessárias na proposta orçamentária e no  Plano de Contratações de TIC, no grupo "contratos existentes": 

Responsável:  STIC e CGTIC

Ação de Contingência e Responsável:

Definir papéis e responsabilidades na gestão dos produtos.

Responsáveis: SGAD e CODAD

Contratação emergencial: CGOVTIC

PAULO CEZAR RODRIGUES DA SLVA

Integrante Demandante

ANDSON DE LIMA GOMES

Integrante Técnico

JECKSON SOUZA CRUZ

Integrante Administrativo

1) A solução deverá garantir a compatibilidade de versão com o Oracle Database Enterprise Edition do ambiente de produção da CONTRATANTE  e versões advindas de atualização e correções de falhas, enquanto estiverem vigentes os serviços de suporte e atualização.

Necessidade de garantir compatibilidade e atualização dos diferentes módulos dos sistemas.

2) A solução deverá proteger dados de acessos não autorizados.

LGPD, Art. 6º, VII - LGPD, Art. 46 - CNJ nº 363/2021XI - TSE nº 23650/2021, Art. 8º, V - Resolução nº 23.644/2021, Art. 7º II-b, Art. 20-III

3) A solução deverá proteger dados de situações acidentais de destruição, perda, alteração, comunicação ou difusão

LGPD, Art. 6º, VI - LGPD, Art. 46I

4) A solução deverá ser capaz de comprovar a observância e o cumprimento de normas de proteção de dados.

LGPD, Art. 6º, X -  TSE nº 23650/2021, Art. 7º, Parágrafo Único

5) A solução deverá ser capaz de tornar os dados pessoais anônimos de modo não reversível.

LGPD, Art. 12, § 3º - LGPD, Art. 16, II e IV

6) A solução deverá permitir adoção de medidas técnicas para tornar os dados ininteligíveis para terceiros não autorizados a acessá-los.

LGPD, Art. 48, § 3º -  TSE nº 23650/2021, Art. 14, IV

7) A solução deverá permitir medidas tais como a descaracterização dos dados pessoais ou a supressão parcial de números cadastrais.

TSE nº 23650/2021, Art. 7º, Parágrafo Único

8) A solução deverá permitir o uso de recursos criptográficos sobre os bancos de dados.

Resolução nº 23.644/2021, Art. 9º, II, Art. 17.

9) A fabricante da solução deverá entregar cópias originais e legalizadas para instalação, atualização ou correção de falhas técnicas, em observância com a legislação pertinente à propriedade intelectual e de direitos autorais de software.

Lei 9.279/1996 - Lei 9.609/1998

1) A solução deverá realizar criptografia de dados na camada de armazenamento, de forma nativa e sem necessidade de utilização soluções de terceiros, sem impacto na interface que as aplicações usam, sem afetar comandos SQL de entrada ou saída, demandar por alterações nas aplicações clientes ou por configurações específicas de hardware, tais como filesystems criptografados.

2) A solução deverá apresentar os dados descriptografados, de forma transparente quando acessados por meio de SQL por usuários e aplicações autorizados pela camada de banco de dados, de forma nativa e sem necessidade de utilização de soluções de terceiros e sem demandar por alterações de código nas aplicações clientes ou por comandos ou configurações de hardware específicas, tais como filesystems criptografados.

3) A solução deverá permitir a criptografia para arquivos de backup gerados pela ferramenta Oracle Database - Recovery Manager (RMAN), de forma nativa, sem necessidade de utilização de soluções de terceiros.

4) A solução deverá permitir a criptografia para arquivos de export gerados pela ferramenta Oracle Database Data Pump, de forma nativa, sem necessidade de utilização de soluções de terceiros.

5) A solução deverá permitir a escolha do tamanho da chave criptográfica e o algoritmo nas operações de criptografia, oferecendo, minimamente: 3DES168, AES128, AES192,AES256.

6) A solução deverá ser capaz de utilizar chaves criptográficas armazenadas no Oracle wallet, nos padrões PKCS#12 e PKCS#5.

7) A solução deverá incapacitar a leitura de dado textuais contidos nos datafiles quando estes forem abertos diretamente no sistema operacional, sem a mediação do Sistema Gerenciador de Banco de Dados.

8) A solução deverá permitir a escolha da granularidade da operação de criptografia, possibilitando, minimamente, a seleção de coluna ou tablespaces que serão criptografados.

9) A solução deverá criptografar dados em repouso, ou seja, que estejam armazenados nos arquivos de dados, nos tablespaces de dados, undo e outros arquivos dos quais o Oracle Database faça uso, tais como redo logs. Não é escopo a criptografia de dados em trânsito por meio de protocolos de comunicação.

10) A solução deverá ser completamente integrada ao Oracle Database, com suporte à aceleração de criptografia baseada em hardware, compatível com tecnologia Intel® Advanced Encryption Standard Instructions (AES-NI)

11) A solução deverá apresentar overhead mínimo no atendimento às requisições de banco de dados, limitado a um acréscimo de 10% do tempo de resposta exibido em bancos idênticos, sobre infraestrutura idêntica, sem criptografia.

12) A solução deverá se capaz de utilizar de chaves de criptografia de padrões PKCS#12 e PKCS#5

13) A solução deverá permitir a compressão de dados em dados criptografados.

14) A solução não deverá impedir o uso de transportable tablespace para dados criptografados.

15) A solução não deve ter limitações quanto ao tipo e quanto ao tamanho do dado a ser criptografado.

16) A solução não deve solicitar o aumento de espaço de armazenamento utilizado, em função de eventual overhead no processo de criptografia.

Implementar Criptografia de Dados descrita e fundamentada nos requisitos do negócio, itens 2, 3, 4, 5, 6, 7 e 8.

17) A solução deverá realizar, considerando as restrições de acesso definidas, a aposição de tarjas para dados selecionados ou outro mecanismo que permita ocultar todo ou parte do dado, doravante denominado de “reescrita do dado” antes da resposta à consulta.

18) A solução deverá ser capaz de realizar a reescrita do dado, de forma nativa, sem a necessidade de alteração da aplicação ou o uso de ferramentas de terceiros.

19)A solução deverá ser capaz de realizar a reescrita do dado, minimamente, nos seguintes modos: Completo: Reescreverá todo o dado. Ex.: Se o CPF for 455.821.052-39, a solução não deve exibir nenhum dígito real.
Parcial: Reescreverá porção do dado. Ex.: Se o CPF for 455.821.052-39, parte a informação pode estar visível, como em 4XX.XXX.XXX-39.
Por expressões regulares: Reescreverá o dado mediante casamento de padrões de texto. Ex.: reescrever parte de email baseado na expressão regular do domínio. De joao@tre-rr.jus.br para ***@****.jus.br
Aleatório: Reescreverá o dado de forma aleatória a cada consulta.
Nenhum: Não haverá reescrita alguma sobre o dado.

20) A solução deverá reescrever o dado entregue para a consulta, sem afetar o dado armazenado no Oracle Database.

21)A solução deverá reescrever o dado consultado em tempo de execução.

22) A solução deverá permitir a criação de várias políticas de reescrita de dados.

23) A solução deverá ser capaz de reescrever dados dos seguintes tipos, minimamente:
Caracters: CHAR, VARCHAR2 (incluindo VARCHAR2 longos, por exemplo, VARCHAR2(20000)), NCHAR, NVARCHAR2,
Dígitos: NUMBER, FLOAT, BINARY_FLOAT, BINARY_DOUBLE
Brutos: LONG RAW, RAW
Data: DATE, TIMESTAMP, TIMESTAMP WITH TIME ZONE, TIMESTAMP WITH LOCAL TIME ZONE
Intervalos: INTERVAL YEAR TO MONTH, INTERVAL DAY TO SECOND

Implementar Reescrita de Dados descrita e fundamentada nos requisitos do negócio, itens 2, 3, 4, 5, 6, 7 e 8.

24) A solução deverá ser capaz de definir regras de segurança baseadas em fatores -  minimamente, IP, método de autenticação, nome do programa, atributos da sessão -, para impedir ataques originados de credenciais válidas que tenham sido roubadas.

25) A solução deverá ser capaz de separar os papéis do administrador de políticas de segurança do papel de administrador de contas de usuários.

26) A solução deverá ser capaz de delimitar uma zona segura dentro do banco de dados em que schemas, objetos e roles podem permanecer em segurança, a fim de que o controle de acesso seja realizado sobre essa zona segura.

27) A solução deverá ser capaz de agrupar várias regras de segurança em conjuntos e produzir uma avaliação única de segurança para cada conjunto que será derivado das avaliações individuais das regras que compõem o conjunto, mediante a informação dos critérios de avaliação.

28) A solução deverá possuir uma biblioteca de funções e procedimentos que permitam ao administrador da solução flexibilidade na definição de regras de segurança.

29) A solução deverá garantir compatibilidade com as demais funcionalidades de segurança que tratam de criptografia, mascaramento de dados e reescrita de dados.

Implementar Controle de Acesso  descrito e fundamentada nos requisitos do negócio, itens 2, 3 e 4.

30) A solução deverá estar acompanhada de documentação elaborada na forma de guias de utilização, contendo informações de nível básico ao avançado.

31) A solução deverá contar com suporte técnico com equipe capacitada no suporte técnico ao contratante, minimamente na versão instalada e também para as versões para os quais a fabricante mantenha suporte durante a vigência contratual.

Prover os recursos necessários para operação e sustentação da solução.

32) A solução deve fornecer atualizações que corrijam falhas de segurança pelo período contratado, que deve ser de, pelo menos, 12 meses, renovável até o limite permitido em lei.

33) A solução deve fornecer canal digital, disponível a qualquer hora do dia, de domingo a sábado, para contato com suporte técnico.

34) A solução deverá garantir compatibilidade com versões de banco de dados que estejam dentro do ciclo de vida de suporte do Oracle Database.

35) A solução deverá apresentar possibilidade de atualização de versão sem perda de histórico ou de configuração existente.

36) A solução deverá permitir o acesso simultâneo de vários técnicos do contratante ao suporte técnico, atendendo às demandas individualmente.

Prover manutenção e garantia para a solução.

37) A contratante não compartilhará com a contratada, sob nenhuma hipótese, base de dados que contenham dados pessoais ou dados sensíveis, mesmo que alegada necessidade para atendimento de suporte técnico.

38) A contratada deverá fornecer credenciais seguras para a contratante a fim de acessar o suporte técnico e as atualizações de versão.

39) A contratante poderá alterar a senha de acesso ao suporte técnico e às atualizações sempre que considerar conveniente, sem necessidade de anuência da contratada.

40) A contratada não poderá utilizar-se das bases de dados da contratada para nenhum fim, sem o consentimento da contratante, mesmo que se trate de pesquisas não identificadas para melhoria da solução.

41) A contratada deverá se comprometer a manter sigilo das informações do Tribunal Contratante a que tiver acesso, devendo, a contratada, assinar Termo de Compromisso e Manutenção de Sigilo, bem como manifestar, por escrito, ciência do Código de Ética, o qual deverá seguir.

Implementar requisitos de segurança da informação.

42) A solução deverá ser compatível com as configurações e ambiente da CONTRATANTE.

43) A solução, quando composta de mais de um módulo ou programa/produto, deverá manter a compatibilidade entre os componentes, garantindo o funcionamento consistente e harmonioso.

44) A solução deverá ser compatível com arquitetura multi-tenant e também para arquitetura non-cdb do Oracle Database.

Garantir a compatibilidade com a infraestrutura do TRE-RR e entre os diversos módulos a serem fornecidos.

Solução 1:

Renovação do suporte do Oracle Advanced Security por 12 (doze) meses
Atualização de versão do Oracle Advanced Security por 12 (doze) meses
 

Informações Adicionais:

Implantada em outro órgão?

Sim

Aderente MNI (Modelo Nacional de Interoperabilidade)?

Não se aplica

Software livre ou software público?

Não se aplica

Aderente à ICP-Brasil?

Não se aplica

Disponível no Portal do Software Público?

Não se aplica

Aderente à Moreq-Jus?

Não se aplica

Justificativa:

a) Alinhamento em relação às necessidades de negócio e requisitos tecnológicos:

• A solução está perfeitamente alinhadas às necessidades de negócio e requisitos tecnológicos.

b) Identificação dos benefícios a serem alcançados com a solução escolhida em termos de eficácia, eficiência, economicidade e padronização:

• Garantia de suporte e compatibilidade entre as versões dos produtos de segurança e a do banco de dados, pois observam a arquitetura do banco de dados Oracle e acompanham calendário do ciclo de vida;

• Minimização de sobrecarga decorrente de integração entre diferentes produtos, pois se integram aos recursos de forma nativa, atuando como verdadeiras extensões de funcionalidade do Oracle Database Enterprise Edition.

• Redução do impacto cultural, uma vez que os produtos observam concepção e conceitos da arquitetura Oracle com a qual a equipe técnica está ambientada.

• Redução de necessidade de intervenção no ambiente tecnológico, considerando que os produtos já se encontram instalados e acessíveis para uso.

• Reconhecimento automático das extensões de segurança pelas interfaces de administração do Oracle Database que são utilizadas pelas equipes técnicas.

c) Relação entre a demanda prevista e a quantidade dos bens e/ou serviços a serem contratados:

•  Os quantitativos foram previstos considerando as instâncias do Oracle  Database Enterprise Edition instaladas e que necessitam da proteção adicional.

a) infraestrutura tecnológica:

Não é necessário nenhuma mudança na infraestrutura tecnológica.

b) infraestrutura elétrica:

Não há necessidade de adequação, já que os produtos estão, inclusive instalados, bastando o licenciamento.

c) logística de implantação:

Implantação a ser realizada  como atividade contínua da SGBD, sem necessidade de logística específica.

d) espaço físico:

Não há necessidade de adequação.

e) mobiliário:

Não há necessidade de adequação.

f) impacto ambiental:

Não haverá impacto significativo que demande alguma ação por parte do contratante ou contratada.

PAULO CEZAR RODRIGUES DA SLVA

Integrante Demandante

ANDOSN DE LIMA GOMES

Integrante Técnico

JECKSON SOUZA CRUZ

Integrante Administrativo