Upload
vuquynh
View
235
Download
0
Embed Size (px)
Citation preview
Ministério do Planejamento, Desenvolvimento e Orçamento
Gestão Secretaria de Gestão Central de Compras
Secretaria de Tecnologia da Informação e Comunicação
RESPOSTA ÀS SUGESTÕES DA AUDIÊNCIA PÚBLICA Nº 001/2017
OBJETO: Contratação de empresa especializada no fornecimento de soluções de segurança de redes compostas de firewall corporativo e multifuncional para prover segurança e proteção da rede dos órgãos e dos servidores de rede, contemplando gerência unificada com garantia de funcionamento pelo período de 60 (sessenta) meses, incluídos todos os softwares e suas licenças de uso, gerenciamento centralizado, serviços de implantação, garantia de atualização contínua, suporte técnico e repasse de conhecimento de toda a solução a fim de atender às necessidades dos órgãos contratantes.
CONTRIBUIÇÕES:
Item 1.1.20. A solução ofertada, e demais equipamentos necessários a execução do Teste de Conformidade, deverão ser instalados, configurados, operados e acessados pela Equipe Técnica da
Licitante Convocada, sempre acompanhada e supervisionada pelo grupo técnico de apoio ao pregoeiro.
1.1.20.1. A não observância desse item poderá acarretar no reinício do Teste de Conformidade, ou mesmo
na reprovação da solução ofertada.
Manifestação: Uma vez que o local do ambiente de teste será provido pelo licitante convocado,
entendemos que o mesmo poderá terá acesso ao equipamentos, fora do horário dos testes, antes das 09h
e após as 18h. Está correto nosso entendimento? Caso contrário, quais mecanismo estão previstos para
que a licitante não tenho acesso aos equipamento fora do horário oficial dos testes?
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 1.3.2. A solução ofertada deverá então ser atualizada para a versão mais atual de firmware, software,
listas de assinaturas e afins disponíveis pelos canais oficiais de suporte técnico do fabricante da solução.
Caso a versão atual tenha menos de 3 meses de liberação de uso para o mercado, será admitida a
utilização da versão imediatamente anterior.
Manifestação: No item 1.3.2 é tratada a questão da versão do software que será utilizado na solução
durante os testes, porém não identificamos formas de validar estes softwares. Sugerimos que sejam
inseridos meios de verificação destes softwares (verificação e comparação de hash, por exemplo)
visando garantir que os softwares utilizados estão em conformidade com os oficiais do fabricante.
Resposta: Sugestão acatada.
Item 1.3.5 Antes da execução dos testes, será realizada uma aferição do gerador de tráfego da seguinte
forma: as portas estarão em loops, no qual serão gerados os tráfegos, com os respectivos percentuais
solicitados, bem como as ameaças. A documentação do processo deverá ter como insumos arquivos do tipo
pcap ou similares.
Manifestação: No item 1.3.5 sugerimos que sejam previstas também algumas formas de capturar
amostras do tráfego gerado (captura de pacotes) para aferição do conteúdo previsto na especificação. É
muito simples realizar uma captura de pacotes durante a geração do tráfego solicitado para identificar os
protocolos, endereços, arquivos transferidos, etc.
Resposta: A equipe técnica, durante os testes, irá proceder de acordo com as necessidades de se
manter a lisura dos testes.
Item 1.3.6. A aferição durante os testes deve ser feita minimamente com os dados obtidos pelo gerador de
tráfego e pela gerência do firewall, sendo correlacionadas as duas informações. No caso do firewall, poderá
ser utilizado: a interface gráfica ou através da CLI.
Manifestação: No item 1.3.6 sugerimos que todas as aferições sejam realizadas somente através da
solução em avaliação (firewalls e gerência centralizada). As informações obtidas através dos geradores
de tráfego devem servir apenas para validar e complementar as informações obtidas nos equipamentos
de firewall e gerência.
Resposta: Não acatada. Apesar de a avaliação ser executada nas soluções de firewall e gerência
centralizada, faz-se necessário a verificação de todo o escopo do teste. A equipe técnica, durante
os testes, irá proceder de acordo com as necessidades de se manter a lisura dos testes
Item 1.4.3.2. A Rede Interna deverá possuir clientes, que deverão acessar a DMZ e a Rede Externa, a qual
deverá ser acessada por meio de NAT N-1. A quantidade de clientes varia de acordo com o porte do lote.
1.4.3.2.1. Lote 1, pelo menos 50 clientes.
1.4.3.2.2. Lote 2, pelo menos 125 clientes.
1.4.3.2.3. Lote 3, pelo menos 500 clientes.
1.4.3.2.4. Lote 4, pelo menos 1.500 clientes.
1.4.3.2.5. Lote 5, pelo menos 2.500 clientes.
Manifestação: Em relação ao item 1.4.3.2.1, 1.4.3.2.2, 1.4.3.2.3, 1.4.3.2.4 e 1.4.3.2.5, não ficou claro
como será comprovado o número de usuários e a nossa sugestão é o detalhamento de como será
realizado os testes de quantidade de clientes para cada teste.
Resposta: Não acatada. A solução de testes deverá fornecer meios de comprovar o quantitativo
solicitado e a equipe técnica, durante os testes, procederá de acordo com as necessidades de se
manter a lisura dos testes.
Item 1.4.5.1. Serão gerados ataques distintos de, no mínimo, 2.000 (duas mil) assinaturas de IPS/IDS
Manifestação: Entendemos que o valor de 2000 assinaturas é muito baixo. Os principais fabricantes
possuem mais do que 5 mil assinaturas e a ferramenta de geração de trafego é capaz de gerar 8000
ataques. Em produção os clientes irão querer usar a tecnologia com todas as assinaturas habilitadas,
portanto sugerimos que seja exigido, no mínimo, 5 mil assinaturas habilitadas.
Resposta: Não acatada. As especificações técnicas refletem a realidade dos ambientes de produção
habituais dos órgãos participes.
Item 1.4.5.4. Serão geradas um mínimo de 300 (trezentas) aplicações. Destas aplicações, 200 (duzentas)
serão conhecidas e pelo menos um mínimo de 100 (cem) serão aleatórias, as quais serão definidas no
momento do teste e fornecidas através de arquivos de captura reais em ambientes da APF, devendo ser
testadas e categorizadas.
Manifestação: Sugerimos que antes da publicação o edital, o órgão convide as empresas de geração de
tráfego para gerar/carregar no gerador o tráfego das 300 aplicações com garantia de não haja erros
irrecuperáveis de TCP dentro da própria captura tornado o teste inexequível.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 1.4.15. A amostra deverá ser então submetida a uma taxa de transferência de 85% do throughput do
lote, no padrão de tráfego do item 1.4.10, sendo testado, por 30 minutos e não poderá apresentar prejuízo
em sua performance.
Manifestação: O item 1.4.15 trata apenas de prejuízos de performance e não fala sobre as taxas de
detecção da solução. Sugerimos que seja explicitado que, durante os testes de maior throughput (85%
ou 80% do lote), as mesmas funcionalidades do item 1.4.4 deverão estar habilitadas simultaneamente,
seguindo as melhores práticas de segurança do fabricante da solução testada.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 1.4.17.1.1 Mensuração de novas sessões por segundo: a amostra deverá comprovar no mínimo 20%
de novas sessões por segundo do tamanho do lote, utilizando a distribuição de tráfego descrita no item
1.4.10 por no mínimo 5 (cinco) minutos. Para tal aferição, todas as assinaturas de IDS/IPS, antivírus e
antimalware, filtro de conteúdo web e controle de aplicação deverão ser habilitadas.
Manifestação: No item 1.4.17.1.1 Mensuração de novas sessões por segundo: a amostra deverá
comprovar no mínimo 20% de novas sessões por segundo do tamanho do lote, utilizando a distribuição
de tráfego descrita no item 1.4.10 por no mínimo 5 (cinco) minutos. Para tal aferição, todas as
assinaturas de IDS/IPS, antivírus e antimalware, filtro de conteúdo web e controle de aplicação deverão
ser habilitadas. Pedimos a revisão deste item uma vez que a distribuição de tráfego descrita no item
1.4.10 inclui pacotes stateless como UDP e VPN;
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 1.4.18 Durante a realização dos testes, será avaliada a solução de gerencia centralizada, que deve
permanecer acessível, possibilitando a modificação e aplicação de políticas de segurança, bem como a
visualização dos logs de acesso e de detecção de ameaças e aplicações.
Manifestação: Sugerimos que no item 1.4.18 o acesso a gerência centralizada deva ocorrer através da
interface gráfica da solução.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. O que se procura atingir é a
lisura dos testes, independente do modo de acesso da gerencia centralizada.
Item 1.4.19 A licitante deve disponibilizar em até 5 dias úteis contados da data da finalização dos testes, o
relatório com todas as informações e resultados apurados durante os testes.
Manifestação: Sugerimos que o relatório seja entregue no mesmo dia da realização do teste de bancada,
logo após o seu término, para evitar que haja manipulações no relatório.
Resposta: Não acatada. A equipe técnica, durante os testes, procederá de acordo com as
necessidades de se manter a lisura dos testes.
Item 2.1.6 Todas as funcionalidades adquiridas de hardware e software devem operar conforme disposto
neste Termo de Referência durante o prazo de garantia dos equipamentos, ou seja, o fornecedor deve
garantir a atualização completa das funcionalidades no prazo referido, não sendo permitida a cobrança de
quaisquer valores adicionais pelo uso dos hardwares e softwares para esse período. As demais
funcionalidades deverão permanecer ativas, mesmo que não sejam atualizadas após o fim do prazo da
garantia.
Manifestação: O item exige que, mesmo após o término do prazo de garantia e suporte da solução, “as
demais funcionalidades deverão permanecer ativas”, entretanto, não faz especificação de quais
funcionalidades deverão manter-se funcionais após tal prazo. Solicitamos a alteração do texto a fim de
tornar-se mais clara essa demanda.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.1.6.2 Somente a funcionalidade de filtro de conteúdo web poderá ser desativada ao final do prazo de
garantia do equipamento, em razão de sua natureza técnica de acesso on-line as suas bases de dados.
Manifestação: Somente as funcionalidades de filtro de conteúdo web e anti-malware poderão ser
desativadas ao final do prazo de garantia do equipamento, em razão de sua natureza técnica de acesso
on-line as suas bases de dados.
Resposta: Não acatada. É de interesse da APF que a funcionalidade de anti-malware continue
funcionando ao final do prazo da garantia, mesmo que funcione com uma base local com
assinaturas armazenadas do último acesso as bases de dados antes do final desse prazo.
Item 2.1.10 O equipamento deve ser fornecido com todas as suas portas de comunicação,
interfaces e afins habilitadas, operacionais e sem custos adicionais, mesmo que para futuras utilizações do
órgão ou entidade CONTRANTE.
2.1.10.1 A contratada deve entregar a quantidade de transceivers equivalente ao dobro da quantidade
mínima de portas exigidas em cada lote conforme os itens 3.15.1.4, 3.22.1.4 e 3.29.1.4.
3.15.1.4 Possuir no mínimo 6 (seis) portas 10/100/1000 BASE-T, podendo 1 (uma) delas ser utilizada para
a gerência e 4 (quatro) portas 1 GE SFP, com os respectivos transceivers 1000 BASE-SX e padrão IEEE
802.3z.
3.22.1.4 Possuir no mínimo 6 (seis) portas 10/100/1000 BASE-T, podendo 1 (uma) delas ser utilizada para
gerência, 4 (quatro) portas 1GE SFP, com os respectivos transceivers 1000BASE-SX e padrão IEEE
802.3z, e 2 (duas) portas 10GE SFP+ ou XFP, com os respectivos transceivers 10GBASE-SR e padrão
IEEE 802.3ae.
3.29.1.4 Possuir no mínimo 6 (seis) portas 10/100/1000 BASE-T, podendo 01 (uma) delas ser utilizada
para gerência, 6 (seis) portas 1GE SFP, com os respectivos transceivers 1000BASE-SX e padrão IEEE
802.3z, e 4 (quatro) portas de 10GE SFP+ ou XFP, com os respectivos transceivers 10 GBASE-SR e
padrão IEEE 802.3ae.
Manifestação: Há uma incoerência nos itens 2.1.10, 2.1.10.1 e os itens 3.15.1.4, 3.22.1.4 e 3.29.1.4. No
item 2.1.10 exige-se que todas as interfaces do equipamento fornecido estejam habilitadas. Portanto, se
essas interfaces fornecidas no equipamento exigirem transceivers, a exigência do item 2.1.10 por si só já
elimina a necessidade das exigências de transceivers nos itens 3.15.1.4, 3.22.1.4 e 3.29.1.4, pois da
forma como está, gerou dúvidas. E ainda, quanto ao item 2.1.10.1, não entendemos por quê dobrar a
quantidade de transceivers. Favor esclarecer.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.1.10.1 A contratada deve entregar a quantidade de transceivers equivalente ao dobro da quantidade
mínima de portas exigidas em cada lote conforme os itens 3.15.1.4, 3.22.1.4 e 3.29.1.4. No caso de
interfaces fixas ao equipamento, a CONTRATADA deverá garantir o fornecimento de apenas 1 mini Gbic
para cada interface.
Manifestação: No caso em que a quantidade mínima de portas é atendida através de fornecimento de
transceivers, a contratada deverá entregar a quantidade de transceivers equivalente ao dobro da
quantidade mínima de portas exigidas em cada lote conforme os itens 3.15.1.4, 3.22.1.4 e 3.29.1.4,
tendo como exceção, apenas quando se tratar de interfaces fixas do equipamento.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.11.2 O equipamento do lote 5 da solução ofertada, pode ser baseado em appliance ou chassi e
deverá ter atestada, pelo fabricante, a compatibilidade entre os módulos e o chassi e deverá suportar
agregação de enlaces multi-chassi (MC-LAG), segundo padrão IEEE 802.1ax.
Manifestação: O equipamento do lote 5 da solução ofertada, pode ser baseada em appliance ou chassi,
deverá ter atestada, pelo fabricante, a compatibilidade entre os módulos e o chassi e deverá suportar
agregação de enlaces multi-chassi segundo padrões IEEE 802.1ax, e IEEE 802.1aq ou IEEE 802.3ad”.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Item 2.1.13 Deve suportar topologias de cluster redundante de alta disponibilidade (failover) no mínimo
aos pares, nos modos ativo-ativo e ativo-passivo, com sincronização, em tempo real, de configuração e de
estados das sessões. No caso de falha de um dos equipamentos do cluster, não deverá haver perda das
configurações e nem das sessões já estabelecidas e a transição entre os equipamentos deverá acontecer de
forma transparente para o usuário.
Manifestação: Deve suportar topologias de cluster redundante de alta disponibilidade (failover) no
mínimo aos pares, no modo ativo-passivo, com sincronização, em tempo real, de configuração e de
estados das sessões. No caso de falha de um dos equipamentos do cluster, não deverá haver perda das
configurações e nem das sessões já estabelecidas e a transição entre os equipamentos deverá acontecer
de forma transparente para o usuário.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.15 Possuir controle de acesso por endereço IP de origem e destino, por aplicação
(independentemente da porta ou protocolo utilizados pela aplicação), por sub-rede e por períodos do dia,
permitindo a aplicação de regras por horários e por dias da semana.
Manifestação: Possuir controle de acesso por endereço IP de origem e destino, por aplicação
(independentemente da porta ou protocolo utilizados pela aplicação) e por sub-rede.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.18 Permitir a criação de no mínimo 25 VLANs padrão 802.1q para os firewalls especificados nos
lotes 1, no mínimo 50 VLANs padrão 802.1q para os firewalls do lote 2 e no mínimo 500 VLANs padrão
802.1q para os firewalls especificados nos lotes 3, 4 e 5.
Manifestação: Entendemos que os equipamentos do tipo Firewalls não tem como função primária de
criação de VLANS, sendo que recomendamos a utilização de switches layer 3 para esse fim. Tendo
isso em vista, entendemos que a ofertando equipamentos com suporte até de 80 VLANs em todos os
modelos atendemos o Edital. Está correto o nosso entendimento?
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades
dos órgãos participantes.
Item 2.1.18 Permitir a criac ao de no minimo 25 VLANs padrao 802.1q para os firewalls especificados nos
lotes 1, no minimo 50 VLANs padrao 802.1q para os firewalls do lote 2 e no minimo 500 VLANs padrao
802.1q para os firewalls especificados nos lotes 3, 4 e 5.
Manifestação: Em Relação ao item 2.1.18, a quantidade de VLANs requerida é muito alta diante das
especificações do lote 3 que denotam um equipamento de médio porte. A implementação de
equipamentos desta natureza, seguramente não demanda esta quantidade de 500 VLANs. Este
entendimento é corroborado ao observarmos os tópicos 3.15.1.2, relacionado ao throuhgputs do
equipamento, que quando configurados com todas as funcionalidades ativas demonstram que há uma
discrepância quanto da quantidade de VLANs exigidas para os equipamentos do lote 3, de modo que
asseguramos que uma redução para 400 VLANs para tipo 3, as necessidades das instituições usuárias
serão supridas, além de assegurar uma oferta mais vantajosa por parte dos proponentes.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.18 Permitir a criação de no mínimo 25 VLANs padrão 802.1q para os firewalls especificados nos
lotes 1, no mínimo 50 VLANs padrão 802.1q para os firewalls do lote 2 e no mínimo 500 VLANs padrão
802.1q para os firewalls especificados nos lotes 3, 4 e 5.
Manifestação: Desde a primeira Consulta Pública, o quantitativo de VLANs para cada lote foi
questionado em termos de métricas utilizadas para atingir tais valores. Gostaríamos, assim, solicitar o
quantitativo proposto para o Lote 3 seja alterado para, no mínimo, 250 VLANs, visto que esse valor já é
hiper-dimensionado, com base na realidade objetiva de uso de soluções de firewall deste porte em redes
corporativas (dispositivos que costumam trabalhar com quantidades elevadas de VLANs costumam ser
switches e não firewalls). A especificação de um valor elevado e irreal de VLANs reduzirá a
competitividade e a economicidade do projeto para a Administração Pública (forçando o aumento de
preço), sem a contrapartida de benefícios reais para o uso da solução. Ante ao exposto, solicitamos a
alteração da quantidade de número de VLANs para o Lote 3 para 250.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.21 Suportar agregação de links, segundo padrão IEEE 802.3ad, nos equipamentos firewall
descritos nos lotes 3, 4 e 5.
Manifestação: 2.1.21 Suportar agregação de links, segundo padrão IEEE 802.3ad de forma estática e/ou
dinâmica, nos equipamentos firewall descritos nos lotes 3, 4 e 5.
Justificativa: O método de agregação de links utilizado pelo padrão IEEE 802.3ad se refere à forma de
configuração em estático e dinâmico, além da forma de como o tráfego é distribuído pelos enlaces. Na
configuração estática, as portas do switch das duas pontas do enlace precisam ser configuradas, já na
configuração dinâmica, as portas configuradas negociam para formar o LAG. O segundo método causa
em muitas vezes problemas para estabelecimento da comunicação, além de ocasionar um “delay” no
processo. Dito isso, entendemos que o requerimento de criação dinâmica de agregação de links não é
muito comum em um cenário real de Firewall e que serão aceitas soluções que suportam o protocolo
802.3ad com agregação de links de forma estática, que é o recomendado e praticado no mercado para
equipamentos desse porte.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.24.3 Deve prover identificação de forma transparente aos usuários autenticados por single sign-
on, no mínimo, por meio dos serviços Microsoft Active Directory e RADIUS;
Manifestação: Deve prover identificação de forma transparente aos usuários autenticados por single
sign-on, no mínimo, por meio dos serviços Microsoft Active Directory ou RADIUS;
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.28.1 Suportar, no mínimo, os protocolos de roteamento dinâmico RIP v2, OSPF v2 e v3 e BGP,
bem como as funcionalidades de roteamento estático e roteamento policy-based, inclusive IPv6;
Manifestação: No item 2.1.28.1 - Suportar, no mínimo, os protocolos de roteamento dinâmico RIP v2,
OSPF v2 e v3 e BGP, bem como as funcionalidades de roteamento estático e roteamento policy-based,
inclusive IPv6, verifica-se que de acordo com a RFC 2080, a versão do protocolo de roteamento
dinâmico RIP suportado para IPv6 é o RIPng e não o RIPv2. Desta forma, sugerimos a modificação do
item para suporte ao protocolo de roteamento dinâmico RIPng;
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.1.47.1 Deverão ser providas interface gráfica (GUI) e linha de comando - (CLI) ou via SSH -,
capazes de atender todas as funcionalidades gerenciais previstas nos subitens do item 2.1.47.
Manifestação: Sugestão: 2.1.47.1 Deverão ser providas interface gráfica (GUI) ou linha
de comando - (CLI) ou via SSH, capazes de atender todas as funcionalidades gerenciais previstas nos
subitens do item 2.1.47.
1- Conforme texto original, todas as funcionalidades gerenciais previstas nos sub-itens 2.1.47.1 a
2.1.47.15 deverão necessariamente ser gerenciados via linha de comando (CLI) ou via SSH (também
linha de comando), além da interface gráfica GUI (local ou centralizado). A nossa arquitetura atende à
todos as exigências descritas nos sub-itens 2.1.47.1 a 2.1.47.15 via interface gráfica GUI (local ou
centralizado), contudo não conseguimos atender via linha de comando (CLI) a todos os sub-itens
2.1.47.1 a 2.1.47.15. Por isso, solicitamos gentilmente tal mudança a fim de evitar duplas interpretações.
Resposta: Sugestão acatada.
Item 2.1.47.1 Deverão ser providas interface gráfica (GUI) e linha de comando - (CLI) ou via SSH -,
capazes de atender todas as funcionalidades gerenciais previstas nos subitens do item 2.1.47.
Manifestação: Deverão ser providas interface gráfica (GUI) para todas as funcionalidades gerenciais
previstas nos subitens do item 2.1.47 e linha de comando - (CLI) ou via SSH para configurações
pontuais e troubleshooting.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.1.47.8 Deve contabilizar a utilização ("hit counts") ou o volume de dados trafegados correspondente
a cada regra de filtragem individualmente.
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.47.9 Deve possibilitar a especificação de política por tempo, ou seja, permitir a definição de
regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora).
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.47.15 Deverá suportar gerência remota (via rede local ou WAN) ou por meio de sistemas
centralizados externos, além da gerência local, tanto por meio de interface gráfica quanto por meio de linha
de comando ou via SSH, sendo que:
2.1.47.15.1 A comunicação entre a estação ou sistema de gerência e o firewall ou cluster local deverá ser
criptografada e autenticada;
2.1.47.15.2 As funcionalidades gerenciadas devem ser, no mínimo, as mesmas previstas no item 2.1.47;
Manifestação: Sugestão: 2.1.47.15 Deverá suportar gerência remota (via rede local ou WAN) ou por
meio de sistemas centralizados externos, sendo que:
2.1.47.15.1 A comunicação entre a estação ou sistema de gerência e o firewall ou cluster local deverá
ser criptografada e autenticada;
1- Conforme texto original, o termo “além da gerência local” pode inferir que o TR exige gerência
remota e gerência local simultaneamente. A arquitetura da nossa solução trabalha com módulos de
gerência e gateway independentes entre si, garantindo assim a segregação destas funções. A fim de
evitar duplos entendimentos frente ao nosso atendimento ao TR, pedimos a remoção do texto “além da
gerência local”, pois não será possível trabalhar com gerência local e centralizada simultaneamente.
2- Outra mudança importante dentro do mesmo item 2.1.47.15 é a remoção do termo “quanto por meio
de linha de comando ou via SSH”. Conforme primeira solicitação de mudança, a nossa arquitetura
atende à todos as exigências descritas nos sub-itens 2.1.47.1 a 2.1.47.15 via interce gráfica GUI (local
ou centralizado), contudo não conseguimos atender via linha de comando (CLI) a todos os sub-itens
2.1.47.1 a 2.1.47.15.
3- Por último, mas não menos importante, o item 2.1.47.15.2 As funcionalidades gerenciadas devem
ser, no mínimo, as mesmas previstas no item 2.1.47, precisa ser removido na íntegra, visto que ele exige
novamente que todas as funcionalidades descritas nos sub-itens 2.1.47.1 a 2.1.47.15 sejam
necessariamente atendidos via COMAND LINE INTERFACE (CLI). A nossa arquitetura atende à
todos as exigências descritas nos sub-itens 2.1.47.1 a 2.1.47.15 via interce gráfica GUI (local ou
centralizado), contudo não conseguimos atender via linha de comando (CLI) a todos os sub-itens
2.1.47.1 a 2.1.47.15.
Resposta: Sugestão acatada.
Item 2.1.51 As funcionalidades de VPN não podem possuir qualquer restrição de licenciamento, inclusive
em relação ao número de clientes, aos softwares instalados nos clientes, IPs e máquinas, limitado a capacidade de throughput do equipamento para VPN.
Manifestação: Entendemos que, caso a VPN possua recurso licenciado de NAC para checagem de
conformidade do dispositivo remoto, o fornecimento desta licença não será obrigatório uma vez que o
TR não especifica essa funcionalidade. Está correto nosso entendimento?
Resposta: O entendimento está incorreto. Caso a solução dependa de licenciamento de funções
especificas de NAC para atender requisitos de VPN disposto no edital, será obrigatório o
fornecimento da licença requerida sem ônus para a CONTRATANTE.
Item 2.1.51 As funcionalidades de VPN nao podem possuir qualquer restricao de licenciamento, inclusive
em relacao ao numero de clientes, aos softwares instalados nos clientes, IPs e maquinas, limitado a
capacidade de throughput do equipamento para VPN.
Manifestação: Em relação ao item 2.1.51, é requerida a não restrição de licenciamento em relação ao
número de clientes, sugerimos que seja definido um número mínimo para os lotes 1, 2 e 3 sendo 5
VPNs para o Lote 1, 15 VPNs para o lote 2 e 2000 VPNs para o lote 3. A razão da nossa proposta é a
real necessidade de propormos um equipamento equivalente em performance técnica e competitividade
financeira diante de soluções concorrentes
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 2.1.51 As funcionalidades de VPN não podem possuir qualquer restrição de licenciamento, inclusive
em relação ao número de clientes, aos softwares instalados nos clientes, IPs e máquinas, limitado a
capacidade de throughput do equipamento para VPN.
Manifestação: As funcionalidades de VPN não podem possuir qualquer restrição de Licenciamento para
atender as funcionalidades previstas nos itens a seguir, inclusive em relação ao número de clientes, aos
softwares instalados nos clientes, IPs e máquinas, limitado a capacidade de throughput do equipamento
para VPN.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.1.57 Deve suportar a customização da interface Web para acesso a VPN pelos administradores do
sistema, incluindo quais aplicativos, servidores e sistemas estarão acessíveis via portal;
Manifestação: Em caso de VPN Clientless, deve suportar a customização da interface Web para acesso
a VPN pelos administradores do sistema, incluindo quais aplicativos, servidores e sistemas estarão
acessíveis via portal. A funcionalidade contradiz com o item 2.1.56 que deixa opcional o recurso de
VPN do tipo Clientless.
Resposta: Não acatada. O item 2.1.56 se refere a utilização por parte do usuário geral, enquanto
que o item 2.1.57 se refere as funcionalidades geridas pelo administrador.
Item 2.1.70 Possuir gerenciamento gráfico das funcionalidades de VPN e monitoramento de seus eventos
de forma integrada tanto ao gerenciamento local do equipamento ou do cluster quanto ao centralizado da
solução. Deve também permitir o gerenciamento dos processos associados por meio de CLI (command-line
interface) ou via SSH;
Manifestação: Sugestão: 2.1.70 Possuir gerenciamento gráfico das funcionalidades de VPN e
monitoramento de seus eventos de forma integrada tanto ao gerenciamento local do equipamento ou do
cluster quanto ao centralizado da solução.
1- Estávamos atendendo ao item antes da modificação, contudo, após a última alteração de texto ao item
2.1.70, o texto “Deve também permitir o gerenciamento dos processos associados por meio de CLI
(command-line interface) ou por acesso via SSH” foi inserido de forma que causa duplo entendimento
de que TODOS os recursos de gerenciamento e monitoramento devam ser atendidos tanto via gerência
gráfica (GUI), quanto via linha de comandos (CLI) ou SSH. A nossa arquitetura atende à todas as
exigências de gerenciamento e monitoramento descritos no Termo de Referência via gerência gráfica
(GUI), contudo nem todas as exigências de gerenciamento e monitoração dos processos associados às
funcionalidades de VPN estão sendo atendidos por nós via linha de comando (CLI) ou SSH. Sendo
assim, gentilmente e a fim de evitar contra-tempos devido a duplos entendimentos durante o processo
de homologação, solicitamos a remoção do texto incluído.
Resposta: Sugestão acatada.
Item 2.3.2 Possuir, no mínimo, um conjunto de 2.000 (duas mil) assinaturas de detecção e prevenção de
ataques, devendo também detectar ataques baseados em anomalias;
Manifestação: No item 2.3.2 - Possuir, no mínimo, um conjunto de 2.000 (duas mil) assinaturas de
detecção e prevenção de ataques, devendo também detectar ataques baseados em anomalias, para
garantir um maior nível de segurança da rede protegida, sugerimos a modificação do item para "um
conjunto de 5.000 (cinco mil) assinaturas de detecção e prevenção de ataques";
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.3.2 Possuir, no mínimo, um conjunto de 2.000 (duas mil) assinaturas de detecção e prevenção de
ataques, devendo também detectar ataques baseados em anomalias.
Manifestação: Entendemos que o valor de 2000 assinaturas é muito baixo. Os principais fabricantes
possuem mais do que 5 mil assinaturas e a ferramenta de geração de trafego é capaz de gerar 8000
ataques. Em produção os clientes irão querer usar a tecnologia com todas as assinaturas habilitadas,
portanto sugerimos que seja exigido, no mínimo, 5 mil assinaturas habilitadas.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.4.1 Possuir módulo de proteção contra antivírus, anti-malware e anti-bot no mesmo equipamento do
firewall;
Manifestação: Possuir módulo de proteção anti-malware e anti-bot no mesmo equipamento do firewall;
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.4.4 Deve possuir serviço de atualização automática e manual de assinaturas com o fabricante.
Manifestação: Entendemos que se a atualização automática é melhor maneira de manter todo o
ambiente atualizado com a última versão disponibilizada pelo fabricante, sendo que se somente for de
forma automática podemos atender ao Edital. Está correto o nosso entendimento?
Resposta: O entendimento está incorreto. A funcionalidade de atualização manual é requisito
fundamental no contexto definido.
Item 2.4.5 Suportar funcionamento mínimo da engine de antivírus e anti-malwares mesmo que a
comunicação com o site do fabricante esteja fora de operação;
Manifestação: Suportar funcionamento mínimo de engine anti-malwares mesmo que a comunicação
com o site do fabricante esteja fora de operação;
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.4.6 Possuir gerenciamento gráfico centralizado das funcionalidades de antivírus e anti-malware
integrado tanto com gerenciamento local do equipamento ou cluster quanto ao gerenciamento centralizado
da solução. Deve também permitir o gerenciamento dos processos associados por meio de CLI (command-
line interface) ou via acesso SSH;
Manifestação: Sugestão: 2.4.6 Possuir gerenciamento gráfico centralizado das funcionalidades de
antivírus e anti-malware integrado tanto com gerenciamento local do equipamento ou cluster quanto ao
gerenciamento centralizado da solução.
1- Estávamos atendendo ao item antes da modificação, contudo, após a última alteração de texto ao item
2.4.6, o texto “Deve também permitir o gerenciamento dos processos associados por meio de CLI
(command-line interface) ou por acesso via SSH” foi inserido de forma que causa duplo entendimento
de que TODOS os recursos de gerenciamento e monitoramento devam ser atendidos tanto via gerência
gráfica (GUI), quanto via linha de comandos (CLI) ou SSH. A nossa arquitetura atende à todas as
exigências de gerenciamento e monitoramento descritos no Termo de Referência via gerência gráfica
(GUI), contudo nem todas as exigências de gerenciamento e monitoração dos processos associados às
funcionalidades de ANTIVÍRUS e ANTI-MALWARE INTEGRADO estão sendo atendidos por nós via
linha de comando (CLI) ou SSH. Sendo assim, gentilmente e a fim de evitar contra-tempos devido a
duplos entendimentos durante o processo de homologação, solicitamos a remoção do texto incluído.
Resposta: Sugestão acatada.
Item 2.4.6 Possuir gerenciamento gráfico centralizado das funcionalidades de antivírus e anti-malware
integrado tanto com gerenciamento local do equipamento ou cluster quanto ao gerenciamento centralizado
da solução. Deve também permitir o gerenciamento dos processos associados por meio de CLI (command-
line interface) ou via acesso SSH;
Manifestação: Possuir gerenciamento gráfico centralizado das funcionalidades anti-malware integrado
tanto com gerenciamento local do equipamento ou cluster quanto ao gerenciamento centralizado da
solução. Deve também permitir o gerenciamento dos processos associados por meio de CLI (command-
line interface) ou via acesso SSH;
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.5.8 Permitir a criação de quotas de utilização por horário, ou por categorias, ou por aplicações;
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 2.6.1 Possuir módulo de filtro de aplicações e de conteúdo desenvolvido e mantido pelo próprio
fabricante, no mesmo equipamento do firewall;
Manifestação: Entendemos que tal exigência reduzirá a competitividade sem a contrapartida de
benefícios para o projeto. Entendemos, também, que o item em questão invalida um modelo de negócio
que utiliza o conceito de “Best of Breed”, ou seja, o fabricante utiliza em seus produtos elementos de
outros fabricantes visando prover a melhor solução aos seus clientes. Por exemplo: faz mais sentido
utilizar uma engine de antivírus de um dos melhores fabricantes do mercado, do que produzir uma
engine própria que não necessariamente terá a mesma qualidade. Ressaltamos que o uso de
elementos/módulos/componentes de outros fabricantes em produtos é uma prática relativamente comum
no mercado de tecnologia, tento em vista que a criação de conhecimento e tecnologia não é
necessariamente exclusiva, ou seja, o próprio sistema de patentes prevê a possibilidade de inovações
baseadas em conceitos já existes. O item 2.1.1 já prevê que o sistema operacional e o hardware devem
ser do mesmo fabricante, ou seja, o core do sistema já está protegido. Levando em consideração de que
no conceito de “Best of Breed” de nossa oferta, as funcionalidades são fornecidas e suportadas pelo
fabricante, não há qualquer tipo de prejuízo à Administração Pública no contexto em questão. Dessa
forma, sugerimos que o item seja alterado para que o módulo de filtro de aplicações e de conteúdo seja
fornecido e suportado pelo mesmo fabricante. Esta alteração protege a Administração Pública sem ferir
o princípio da competitividade.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Item 2.6.6 Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução
dos serviços de controle de aplicações;
Manifestação: No item 2.6.6 - Garantir que as atualizações regulares do produto sejam realizadas sem
interromper a execução dos serviços de controle de aplicações. Embora não tenhamos relatos de nossos
clientes reportando que houve interrupção de tráfego ou queda de sessão em momentos de atualização
da base de controle de aplicação, não há como garantir que isso não possa acontecer, uma vez que uma
atualização de base de assinaturas acarreta em uma reinicialização do serviço de controle de aplicação.
Acreditamos que o mesmo aconteça para os demais fabricantes. Desta forma, sugerimos que este item
seja por completo removido ou sua escrita alterada;
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 2.7.6 Toda a documentacao didatica necessaria aos cursos de treinamento devera ser disponibilizada
em papel impresso e midia digital.
Manifestação: Em relação ao item 2.7.6, sugerimos a seguinte alteração “Toda a treinamento e
documentacao didatica necessaria aos cursos de treinamento devera ser disponibilizada em papel
impresso e midia digital do matéria de administração que contemplam todos os assuntos do
treinamento”, pois o material de treinamento é exclusivo para os centro de treinamentos.
Resposta: Não acatada. A reprodução do material não tem intuito de uso comercial.
Item 3.1 LOTE 1–item 1:Firewall multifuncional Tipo 1
3.8 LOTE 2–item 1:Firewall multifuncional Tipo 2
3.15 LOTE 3–item 1:Firewall multifuncional Tipo 3
3.22 LOTE 4–item 1:Firewall multifuncional Tipo 4
3.29 LOTE 5–item 1:Firewall multifuncional Tipo 5
Manifestação: 3.1 LOTE 1–item 1:Firewall multifuncional Tipo 1
Novas conexões por segundo: 18,000
Conexões simultâneas: 450,000
3.8 LOTE 2–item 1:Firewall multifuncional Tipo2
Novas conexões por segundo: 55,000
Conexões simultâneas: 3,800,000
3.15 LOTE 3–item 1:Firewall multifuncional Tipo3
Novas conexões por segundo: 180,000
Conexões simultâneas: 5,800,000
3.22 LOTE 4–item 1:Firewall multifuncional Tipo 4
Novas conexões por segundo: 280,000
Conexões simultâneas: 7,800,000
3.29 LOTE 5–item 1:Firewall multifuncional Tipo 5
Novas conexões por segundo: 400,000
Conexões simultâneas: 12,000,000
Há várias soluções no mercado que, apesar de apresentarem um número grande de throughput (Gbps),
possui valores muito baixos em outros parâmetros importantes, são eles: Novas Conexões por segundo
(CPS): Para entender a importância deste parâmetro, basta lembrar que há várias verificações efetuadas
pelo Firewall antes que o tráfego possa passar através do “backplane” dele. Dentre elas, algumas
merecem especial destaque: Análise de Fluxo: o pacote que chegou à interface de entrada é parte de um
fluxo (conexão) existente ou é justamente o primeiro pacote e, portanto, uma nova conexão precisará ser
criada? Isto é particularmente importante para protocolos de aplicação que usam o TCP como
transporte, como as tarefas associadas ao “Three-way Handshake”. O pacote que chegou é permitido
pela ACL de entrada? Existe regra de NAT que permita a passagem do tráfego? Existe rota para
encaminhar o pacote? Existe regra de inspeção avançada para este fluxo? Só após estas verificações o
tráfego poderá usar o “backplane”. A limitação do valor de CPS geralmente impede que o elemento
chegue a usar o throughput (Gbps). Pacotes por Segundo (pps) – Esta é a principal métrica para
Roteadores e, considerando que os Stateful Firewalls, na maioria dos casos, atuam como elementos L3,
este parâmetro também não pode ser desprezado.
Na visão de um Firewall Stateful, uma mesma conexão pode envolver muitos pacotes trafegados.
Em algumas situações, o desempenho de algumas soluções são questionadas quando implementadas em
redes que trafegam muitos “pacotes pequenos”. Na realidade, o que acontece é o seguinte: os números
de “Marketing” eram calculados com pacotes grandes (maiores que 1500 bytes) e o resultado expresso
em Gbps. Os números do ambiente real seguiam um perfil IMIX (~450 bytes). Como a expectativa de
desempenho estava associada a Gbps, dificilmente um equipamento apenas com grande backplane, na
prática, apresenta boa performance real. Conexões Simultâneas: corresponde ao número instantâneo
máximo de entradas na tabela de conexões. Este atributo está de certa forma relacionado com o número
de CPS. Por quanto tempo o Firewall consegue absorver novas conexões (sem descartá-las) até o limite
de conexões simultâneas?
Em nossa visão, as novas conexões por segundo+ conexões simultâneas são os dois principais
parâmetros de Firewall, já que é um equipamento Statefull (diferente de um switch, que é em teoria é
stateless), e pode ser a qualquer momento alvo de um ataque de Negação de Serviço, por exemplo.
Quanto maior a sua capacidade de tratar novas conexões, maior será a resiliência do Firewall.
Throughput (Gigabits/segundo): um parâmetro associado à capacidade de encaminhamento.
Apesar de ser uma métrica muito importante para encaminhamento L2, no caso dos Stateful Firewalls
este parâmetro acaba se tornando secundário. Diante do que já foi exposto, o valor de Gbps deveria ser
uma consequência do número de Pacotes por Segundo (pps) suportado pelo equipamento e do
conhecimento das características de tamanho de pacote do ambiente em que o Firewall será instalado.
Como os parâmetros relacionados com pacotes por segundo já foram muito bem
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Item 3.1.1.2 Possuir, no mínimo, o throughput de 1 Gbps para todas as funcionalidades dos itens 2.1, 2.2,
2.3, 2.4, 2.5 e 2.6, ativadas simultaneamente e com inspeção integral de todos os pacotes de dados,
independentemente de seu tamanho ou direção de fluxo, levando-se em consideração o perfil de tráfego
descrito no ANEXO E.
3.8.1.2 Possuir, no mínimo, o throughput de 1 Gbps para todas as funcionalidades dos itens 2.1, 2.2,
2.3, 2.4, 2.5 e 2.6, ativadas simultaneamente e com inspeção integral de todos os pacotes de dados,
independentemente de seu tamanho ou direção de fluxo, levando-se em consideração o perfil de tráfego
descrito no ANEXO E. 3.15.1.2 Possuir, no mínimo, o throughput de 1 Gbps para todas as funcionalidades dos itens 2.1, 2.2,
2.3, 2.4, 2.5 e 2.6, ativadas simultaneamente e com inspeção integral de todos os pacotes de dados,
independentemente de seu tamanho ou direção de fluxo, levando-se em consideração o perfil de tráfego
descrito no ANEXO E.
3.22.1.2 Possuir, no mínimo, o throughput de 5 Gbps para todas as funcionalidades dos itens 2.1, 2.2,
2.3, 2.4, 2.5 e 2.6, ativadas simultaneamente e com inspeção integral de todos os pacotes de dados,
independentemente de seu tamanho ou direção de fluxo, levando-se em consideração o perfil de tráfego
descrito no ANEXO E.
3.29.1.2 Possuir, no mínimo, o throughput de 10 Gbps para todas as funcionalidades dos itens 2.1,
2.2, 2.3, 2.4, 2.5 e 2.6, ativadas simultaneamente e com inspeção integral de todos os pacotes de dados,
independentemente de seu tamanho ou direção de fluxo, levando-se em consideração o perfil de tráfego
descrito no ANEXO E.
Manifestação: Nos itens 3.1.1.2, 3.8.1.2, 3.15.1.2, 3.22.1.2, 3.29.1.2 não está claro quanto às
funcionalidades que devem ser ativadas no teste de bancada. Para que o edital fique claro, informar se
as funcionalidades de IPS, Firewall, VPN/SSL, VPN IPSEC, Filtro de Conteúdo WEB, Filtro de URLs,
Controle de Aplicação, antivírus e anti-malware, etc. Sem deixar isto muito claro, não será possível
realizar a avaliação da solução.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 3.1.1.7 Quantidade de novas sessoes por segundo 5.000.
Manifestação: O modelo que gostaríamos de ofertar neste lote faz 4 mil sessões novas por segundo
aferido com pacote HTTP e payload de 4 kbytes. Gostaríamos de solicitar a alteração de 5 mil para 4
mil novas sessões por segundo CONSIDERANDO AS CONDIÇÕES DO TESTE DE BANCADA.
Entendemos que esta mudança não tratará prejuízos técnicos ao processo, pois estima-se que as
instituições que farão uso deste LOTE possuem um número de sessões novas por segundo abaixo de 1
mil, sendo 5 mil um valor encontrado em órgãos como ministérios de maior porte e universidades
federais.
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 3.7.1.2 Possuir capacidade mínima de 100GB para armazenamento de logs e eventos.
3.14.1.2 Possuir capacidade mínima de 250 Gb para armazenamento de logs e eventos.
3.21.1.2 Possuir capacidade mínima de 1TB para armazenamento de logs e eventos.
3.28.1.2 Possuir capacidade mínima de 2 TB para armazenamento de logs e eventos.
3.35.1.2 Possuir capacidade mínima de 4 TB para armazenamento de logs e eventos.
Manifestação: A solução de gerência externa é disponibilizada por meio de Software e este poderá ser
instalado em ambiente Windows (i.e Windows 7, 8, Server). A máquina que irá hospedar a solução de
gerência centralizada, bem como a capacidade de storage exigida neste item, deverão ser
disponibilizados pelo CONTRATANTE, conforme aponta o item 2.2.1.3? Nosso entendimento está
correto?
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 3.8.1.6 Quantidade de novas sessoes por segundo 12.000.
Manifestação: O modelo que gostaríamos de ofertar neste lote faz 8 mil sessões novas por segundo
aferido com pacote HTTP e payload de 4 kbytes. Gostaríamos de solicitar a alteração de 12 mil para 8
mil novas sessões por segundo CONSIDERANDO AS CONDIÇÕES DO TESTE DE BANCADA.
Entendemos que esta mudança não tratará prejuízos técnicos ao processo, pois estima-se que as
instituições que farão uso deste LOTE possuem um número de sessões novas por segundo abaixo de 2
mil, sendo 12 mil um valor raramente encontrado em órgãos como ministérios e universidades federais.
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 3.8.1.6 Quantidade de novas sessões por segundo 12.000.
Manifestação: Em relação ao item 3.8.1.6, Propomos a alteração do item 3.8.1.6, que trata da
quantidade de novas sessões por segundo, originalmente exigido na ordem de 13000, para uma
quantidade de 6000. A razão da nossa proposta é a real necessidade de propormos um equipamento
equivalente em performance técnica e competitividade financeira diante de soluções concorrentes.
Asseguramos que tal redução é compatível não impacta no throughput do equipamento no item 3.8.1.2.
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 3.15.1.5 Possuir a capacidade mínima de 1 (um) disco rígido de 24 GB para armazenamento de logs.
Manifestação: Entendemos que, tento em vista que a previsão do uso de uma solução de gerenciamento
centralizado, que inclui a centralização de logs, a demanda pela a capacidade de armazenamento do
dispositivo do Firewall pode ser reduzida uma vez que estes logs serão enviados, em tempo real, para a
solução de gerenciamento centralizado. Sugerimos, portanto, visando proteger o princípio da
competitividade, que essa capacidade seja reduzida para 4GB, que é um valor suficiente para realizar o
cache local dos dados. Uma alternativa seria permitir que, caso a solução de gestão histórica dos logs
poder ser entregue sem ônus para a Administração, que nesse caso específico, a capacidade poderá ser
reduzida para 4GB.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.15.1.6 Quantidade de sessoes simultâneas 500.000.
Manifestação: O modelo que gostaríamos de ofertar neste lote, faz exatamente 500 mil sessões
simultâneas. CONSIDERANDO AS CONDIÇÕES DO TESTE DE BANCADA gostaríamos de
solicitar a redução para 450 mil sessões simultâneas.
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 3.15.1.6 Suporte para no mínimo 3 (três) instancias virtuais.
Manifestação: Em relação ao item 3.15.1.6, é requerido o suporte mínimo de três instâncias virtuais,
sendo essa solicitação não tem coerência com o throughput solicitado no item 3.15.1.2, acarretando em
problemas de performances nas instâncias virtuais criadas, dessa forma solicitamos que seja solicitada
uma quantidade mínima de zonas suportadas com possibilidade de criação políticas distintas para cada
uma, sem haver a necessidade de compartilhamento de recursos e aumento de custos com o
licenciamento de instâncias virtuais. Asseguramos que tal alteração não impacta na oferta
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.15.1.6 Suporte para no mínimo 3 (três) instâncias virtuais.
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.15.1.6 Suporte para no mínimo 3 (três) instâncias virtuais.
Manifestação: Tendo em vista que é um recurso pouquíssimo utilizado nessa capacidade, sistemas
virtuais são mais apropriados em operadoras de Telecom, que não é o caso deste projeto; entendemos,
portanto, que a exigência desta funcionalidade fere o princípio da competitividade sem a contrapartida
de benefícios reais para o projeto. Os quantitativos expostos neste Termo de Referência, na seção que
especifica cada Lote, vão de encontro às especificações técnicas propostas. O Lote 3 exige 1Gbps de
throughput com os componentes de segurança e controle de conteúdo e ameaça habilitados; uma vez
que faça uso de instancias virtuais neste Firewall, os recursos do mesmo serão compartilhados entre
contextos criados podendo, assim, causar uma impossibilidade técnica dos equipamentos em atender as
demandas propostas pelo órgão. Gostaríamos de entender a real necessidade de suporte mínimo às
instancias virtuais pois, como já mencionado, é necessário levar em consideração a sua utilização bem
como os limites operacionais das caixas e as demandas dos órgãos que farão uso desta funcionalidade.
Caso haja uma necessidade real para tal, é possível atender com Firewalls virtuais com especificações
condizentes com o tráfego que irá ser realizado trazendo, assim, uma economia à Administração Pública
por conta do aumento da Competitividade.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.15.1.7 Quantidade de novas sessoes por segundo 50.000.
Manifestação: O modelo que gostaríamos de ofertar neste lote faz exatamente 50 mil sessões novas por
segundo em datasheet. Gostaríamos de solicitar a alteração de 50 mil para 25 mil novas sessões por
segundo CONSIDERANDO AS CONDIÇÕES DO TESTE DE BANCADA. Entendemos que esta
mudança não tratará prejuízos técnicos ao processo, pois estima-se que as instituições que farão uso
deste LOTE possuem um número de sessões novas por segundo abaixo de 10 mil, sendo 50 mil um
valor compatível com operadoras.
Resposta: Não acatada. Tecnicamente implica em equipamentos com capacidade reduzida, o que
é incompatível com a perspectiva de uso da solução (60 meses) pelos órgãos.
Item 3.22.1.4 Possuir no mínimo 6 (seis) portas 10/100/1000 BASE-T, podendo 1 (uma) delas ser utilizada
para gerência, 4 (quatro) portas 1GE SFP, com os respectivos transceivers 1000BASE-SX e padrão IEEE
802.3z, e 2 (duas) portas 10GE SFP+ ou XFP, com os respectivos transceivers 10GBASE-SR e padrão
IEEE 802.3ae.
Manifestação: Favor informar se para o item 3.22.1.4, no caso das interfaces 1G SFP será possível
fornecer interfaces com velocidade superior (10G SFP+ ou XFP)?
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.22.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 120 GB em RAID 1 para
armazenamento de logs.
3.29.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 240 GB em RAID 1
para armazenamento de logs
Manifestação: No LOTE 4, item 3.22.1.5 e no LOTE 5, item 3.29.1.5 exige-se que os appliances
possuam 2(dois) discos rígidos de 120 GB em RAID1 para armazenamento de logs. Há duas
considerações aqui. A primeira é que hoje os equipamentos não possuem discos rígidos em sua
configuração. O padrão atual é a utilização da tecnologia SSD ou compact flash. A segunda é que, na
nossa solução, os logs não ficam armazenados por muito tempo no próprio appliance e são transferidos
automaticamente para o sistema de gerenciamento. Sendo assim, o uso da tecnologia RAID1 não é
utilizada por considerar que os logs estarão seguros em ambiente de gerenciamento. O espaço de
armazenamento no appliance será utilizado apenas enquanto não houver conectividade com o sistema
de gerenciamento. Sendo assim, solicitamos a alteração dos itens para o seguinte texto: “Possuir
capacidade de armazenamento de logs de, no mínimo, 120 GB”.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.22.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 120 GB em RAID 1 para
armazenamento de logs.
Manifestação: Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 120 GB em RAID 1
ou possuir disco único SSD de 200 GB hot-swappable para armazenamento de logs.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.22.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 120 GB em RAID 1 para
armazenamento de logs.
Manifestação: O projeto prevê o uso de uma solução de gerenciamento centralizado de logs para os
firewalls. Levando em consideração que um appliance de firewall não é otimizado para indexação e
análise maciça de logs, incluindo maiores prazos de retenção, e sim para controle de trafego de dados,
faz pouco sentido onerar a solução com o sistema de RAID sobre SSD (tecnologia que possui
confiabilidade muito maior do que discos tradicionais). A funcionalidade de análise de log é
normalmente realizada de forma separada ao appliance de firewall, permitindo com isso realizar
pesquisas mais detalhadas e janelas maiores de tempo sem onerar o firewall. Desta forma, e levando em
consideração que alguns fabricantes entregam sem ônus a solução de gestão de logs, a exigência de
RAID sobre SSD fere os princípios da economicidade e competitividade sem contrapartida de
benefícios justificáveis para a Administração.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.22.1.7 Ser licenciado para no mínimo 10 instâncias virtuais.
Manifestação: Entendemos que a utilização de instâncias virtuais não é recomendada em alguns
casos pois não há um controle sobre o processamento e a interferência que uma instância virtual pode
gerar em outra instância, fazendo com que o uso desta tecnologia coloque em risco ambientes
simultâneos. Oferecemos a possibilidade de instalação de firewalls virtuais independentes e
recomendamos o uso de outros mecanismos de controle (por zona e redes segregadas), feitas
diretamente nos firewalls. Acreditamos que dessa forma podemos participar dessa licitação. Está correto
o nosso entendimento?
Resposta: O entendimento está incorreto. O requisito necessário é que um mesmo equipamento
físico deve ser capaz de executar um ou mais contextos ou instâncias virtuais de execução.
Item 3.22.1.7 Ser licenciado para no mínimo 10 instâncias virtuais.
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.22.1.7 Ser licenciado para no mínimo 10 instâncias virtuais.
Manifestação: Tendo em vista que é um recurso pouquíssimo utilizado nessa capacidade, sistemas
virtuais são mais apropriados em operadoras de Telecom, que não é o caso deste projeto; entendemos,
portanto, que a exigência desta funcionalidade fere o princípio da competitividade sem a contrapartida
de benefícios reais para o projeto. Os quantitativos expostos neste Termo de Referência, na seção que
especifica cada Lote, vai de encontro às especificações técnicas propostas. O Lote 4 exige 5Gbps de
throughput com os componentes de segurança e controle de conteúdo e ameaça habilitados; uma vez
que faça uso de instancias virtuais neste Firewall, os recursos do mesmo serão compartilhados entre
contextos criados podendo, assim, causar uma impossibilidade técnica dos equipamentos em atender as
demandas propostas pelo órgão. Gostaríamos de entender a real necessidade de suporte mínimo às
instancias virtuais pois, como já mencionado, é necessário levar em consideração a sua utilização bem
como os limites operacionais das caixas e as demandas dos órgãos que farão uso desta funcionalidade.
Caso haja uma necessidade real para tal, é possível atender com Firewalls virtuais com especificações
condizentes com o tráfego que irá ser realizado trazendo, assim, uma economia à Administração Pública
por conta do aumento da Competitividade.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Item 3.29.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 240 GB em RAID 1 para
armazenamento de logs.
Manifestação: O projeto prevê o uso de uma solução de gerenciamento centralizado de logs para os
firewalls. Levando em consideração que um appliance de firewall não é otimizado para indexação e
análise maciça de logs, incluindo maiores prazos de retenção, e sim para controle de trafego de dados,
faz pouco sentido onerar a solução com o sistema de RAID sobre SSD (tecnologia que possui
confiabilidade muito maior do que discos tradicionais). A funcionalidade de análise de log é
normalmente realizada de forma separada ao appliance de firewall, permitindo com isso realizar
pesquisas mais detalhadas e janelas maiores de tempo sem onerar o firewall. Desta forma, e levando em
consideração que alguns fabricantes entregam sem ônus a solução de gestão de logs, a exigência de
RAID sobre SSD fere os princípios da economicidade e competitividade sem contrapartida de
benefícios justificáveis para a Administração.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.29.1.5 Possuir a capacidade mínima de 2 (dois) discos rígidos ou SSD de 240 GB em RAID 1 para
armazenamento de logs.
Manifestação: 3.29.1.5 Possuir a capacidade de exportar todos os logs para uma unidade de
armazenamento externa.
Justificativa: Para o pleno atendimento aos requisitos deste lote, iremos ofertar um NGFW de grande
porte, desenhado para o ambiente de tráfego intensivo e de alta performance demandado pelas
operadoras. Por ser um equipamento de grande porte, o armazenamento de logs internos não é viável,
pois tais discos certamente se esgotariam em pouco tempo criando um problema para o armazenamento
de longo prazo. A utilização da extensão de capacidade de armazenamento externo, possui algumas das
vantagens mais significativas frente ao disco interno, são elas:
O recurso de armazenamento do servidor de log pode ser facilmente estendido e sem interrupção de
serviço do NGFW.
2) Servidor de log pode fornecer capacidade de armazenamento que é quase impossível para NGFW
dispositivo ou chassis.
3) O servidor de registro pode fornecer um desempenho de log mais alto, e não afetará o desempenho do
NGFW.
4) Registro de escrita / leitura não será o gargalo de desempenho do sistema.
5) Maior confiabilidade do armazenamento de log
6) O servidor de registro pode ser configurado com matriz de disco, que tem maior confiabilidade que
SSD.
7) Armazenamento centralizado, gerenciamento unificado: Todos os logs são coletados e salvos em um
sistema de servidor de log unificado, como resultado o servidor pode fornecer a análise de logs de forma
global.
Tomando esses benefícios como prerrogativas para um bom desempenho e segurança do ambiente
computacional do órgão, entendemos que a utilização de discos externos (como já especificado no item
7, Solução de gerencia centralizada) atende à necessidade da especificação.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.29.1.7 Ser licenciado para no mínimo 20 instâncias virtuais
Manifestação: Entendemos que a utilização de instâncias virtuais não é recomendada em alguns casos
pois não há um controle sobre o processamento e a interferência que uma instância virtual pode gerar
em outra instância, fazendo com que o uso desta tecnologia coloque em risco ambientes simultâneos.
Oferecemos a possibilidade de instalação de firewalls virtuais independentes e recomendamos o uso de
outros mecanismos de controle (por zona e redes segregadas), feitas diretamente nos firewalls.
Acreditamos que dessa forma podemos participar dessa licitação. Está correto o nosso entendimento?
Resposta: O entendimento está incorreto. O requisito necessário é que um mesmo equipamento
físico deve ser capaz de executar um ou mais contextos ou instâncias virtuais de execução.
Item 3.29.1.7 Ser licenciado para no mínimo 20 instâncias virtuais.
Manifestação: Sugestão de remoção.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Item 3.29.1.7 Ser licenciado para no mínimo 20 instâncias virtuais.
Manifestação: Tendo em vista que é um recurso pouquíssimo utilizado nessa capacidade, sistemas
virtuais são mais apropriados em operadoras de Telecom, que não é o caso deste projeto; entendemos,
portanto, que a exigência desta funcionalidade fere o princípio da competitividade sem a contrapartida
de benefícios reais para o projeto. Os quantitativos expostos neste Termo de Referência, na seção que
especifica cada Lote, vão de encontro às especificações técnicas propostas. O Lote 5 exige 10Gbps de
throughput com os componentes de segurança e controle de conteúdo e ameaça habilitados; uma vez
que faça uso de instancias virtuais neste Firewall, os recursos do mesmo serão compartilhados entre
contextos criados podendo, assim, causar uma impossibilidade técnica dos equipamentos em atender as
demandas propostas pelo órgão. Gostaríamos de entender a real necessidade de suporte mínimo às
instancias virtuais, pois, como já mencionado, é necessário levar em consideração a sua utilização bem
como os limites operacionais das caixas e as demandas dos órgãos que farão uso desta funcionalidade.
Caso haja uma necessidade real para tal, é possível atender com Firewalls virtuais com especificações
condizentes com o tráfego que irá ser realizado trazendo, assim, uma economia à Administração Pública
por conta do aumento da competitividade.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Item 9.3 Responsabilizar-se pelo ônus e a logística da retirada e devolução dos equipamentos para
realização de serviços de garantia, bem como da substituição de equipamentos não aceitos, cabendo à
CONTRATANTE a emissão de documento fiscal ou equivalente necessário ao transporte do equipamento,
quando for o caso.
Item 12.4.6 A CONTRATADA, no caso da atualização de equipamento para corrigir falhas apresentadas,
deve se responsabilizar pelos custos envolvidos, inclusive eventuais trocas de hardware, cabendo à
CONTRATANTE a emissão de documento fiscal ou equivalente necessário ao transporte do equipamento,
quando for o caso.
Manifestação: Nos itens 9.3 e 12.4.6 do Termo de Referência, que trata da logística de substituição de
equipamentos em caso de defeitos, há que se verificar que há um procedimento legal obrigatório que
deve ser realizado pela CONTRATANTE. Este procedimento obrigatório refere-se à emissão de nota
fiscal de saída emitido pela CONTRATANTE e só pode ser realizado pela própria CONTRATANTE.
Favor alterar este item para que reflita esta obrigatoriedade por parte da CONTRATANTE, já que sem
esta nota fiscal, a CONTRATADA não poderá cumprir o SLA exigido.
Resposta: Os itens 9.2 e 12.4.6 deixam claros a responsabilidade da CONTRATANTE quanto às
providências referentes a emissão do documento fiscal necessário a movimentação dos bens (nota
fiscal avulsa de simples remessa, nota de movimentação, etc.).
Item 12.5.1 A troca de qualquer unidade defeituosa deverá ser realizada em conformidade com os prazos
estabelecidos na Tabela 1 – Níveis Mínimos de Serviço do item 11.1.
Manifestação: A troca de qualquer unidade defeituosa deverá ser realizada em conformidade com os
prazos estabelecidos abaixo.
Resposta: Não acatada. Manifestação incompleta.
Item 17.1 - Tabela 4
Manifestação: Comprovação por Atestado de Quantitativo Mínimo para o Lote, considerando a
justificativa do item, entendeu que a capacidade de fornecimento a ser exigida deve ser condizente com
o quantitativo a ser adquirido, pois além de necessitar de capacidade técnica, a licitante vencedora
deverá possuir capacidade financeira para suportar esse fornecimento. A quantidade total de
equipamentos prevista no projeto é de, no mínimo, 916 equipamentos/appliances. Portanto, entendemos
que a quantidade de experiência em fornecimento a ser exigida da licitante vencedora deve ser de
aproximadamente 92 equipamentos. Segue como sugestão. Um projeto deste tamanho, além do
fornecimento, exige a capacidade de substituição em caso de defeito e esta é a principal experiência que
deve ser cobrada, a nosso ver.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 19.2 O(s) contrato(s) terá(ão) vigência de até 12 (meses) meses, os quais poderão ser prorrogados até
60 (sessenta) meses, a contar da data de sua assinatura.
Manifestação: Considerando a garantia solicitada para todos os equipamentos, conforme objeto do
edital e item 12.4.3 do Termo de Referência, não entendemos qual será a necessidade de prorrogação da
vigência do contrato após os 12 (doze) meses.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Item 19.2 O(s) contrato(s) terá(ão) vigência de até 12 (meses) meses, os quais poderão ser prorrogados até
12 (doze) meses, a contar da data de sua assinatura. Destacando-se que a garantia da solução e a atualização
de firmwares e softwares deve ser de 60 meses contados a partir do termo de recebimento definitivo.
Manifestação: Considerando todo o Termo de Referência, e considerando que vigência do contrato será
de apenas 12 (doze) meses e a vigência da garantia será de 60(sessenta) meses, entendemos que há
necessidade de alteração em todo o Termo de Referência do texto “vigência do contrato” para “vigência
da garantia”, quando for o caso. Portanto, sugerimos tal alteração.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Sugestão 1:
Manifestação: Durante os testes de capacidade, sugerimos que sejam previstas verificações que
comprovem que as configurações realizadas na gerência centralizada estejam, de fato, habilitadas nos
firewalls (verificação de políticas instaladas, por exemplo).
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Sugestão 2:
Manifestação: Devido ao tamanho e complexidade, sugerimos que os equipamentos de Firewall
Multifuncional dos Lotes 3, 4 e 5 suportem e sejam compatíveis com as novas interfaces 40G, que são
tendência neste tipo de soluções e estão em iminência de serem amplamente adotadas, de forma similar
às interfaces 10G há alguns anos atrás.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Sugestão 3:
Manifestação: Nos itens de requisitos específicos dos lotes 4 e 5 (por exemplo, 3.31.1 e 3.24.1), não
explicitam quais extensões ou “tipos” de arquivos devem ser suportados para inspeção e emulação nas
funcionalidades de prevenção de ameaças (conhecidas e desconhecidas). Sugerimos então a inclusão de
um item que especifique os tipos de arquivos e suas extensões comuns, contendo, no mínimo, as
seguintes: Documentos do Pacote Office (.doc, .docx, .ppt, etc.), PDF, PIF, TGZ, SWF, RAR, RTF,
SCR e executáveis em geral (EXE).
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Sugestão 4:
Manifestação: Entendemos que, no item 2.1.47, são solicitadas diversas funcionalidades relacionadas à
Solução de Gerenciamento e, especificamente no item 2.1.47.1, é solicitado que todas as
funcionalidades sejam suportadas tanto via interfaces Gráficas (GUI), quanto interfaces de linha de
comando (CLI). Entretanto, existem funcionalidades que não são viáveis em alguns formatos
específicos de console de gerenciamento e, apesar de estarem presentes e serem suportadas, só são
disponibilizadas em uma console específica (seja ela linha de comando ou gráfica). Desta forma,
entendemos que o item 2.1.47.1 deve ter sua redação alterada para que possa permitir a ampla
participação de soluções que atendem integralmente ao solicitado no item 2.1.47 e seus subitens, porém
não simultaneamente nas duas interfaces. Redação sugerida: “2.1.47.1 Deverão ser providas interfaces
de gerenciamento, capazes de atender todas as funcionalidades gerenciais previstas nos subitens do item
2.1.47, através de interface gráfica (GUI) ou linha de comando (CLI).”
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Sugestão 5:
Manifestação: Entendemos que o item 2.1.47.15 deverá ter sua redação alterada: “Deverá suportar
gerência remota (via rede local ou WAN) ou por meio de sistemas centralizados externos, além da
gerência local, por meio de interface gráfica ou linha de comando ou via SSH, sendo que:”.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Sugestão 6:
Manifestação: Gostaria que analisassem a possibilidade de aumentar o valor estimado do edital,
considerando os preços enviados pelos principais players de mercado
Os riscos são:
- Estarem utilizando preços estimados de equipamentos que não possuem a mesma capacidade de
performance exigida nos testes de bancada;
- Estarem utilizando preços estimados de equipamentos de fabricantes que não atendem as
especificações técnicas nem de performance;
- Estarem utilizando preços estimados de processos que compraram grandes quantidades de
equipamentos vendidos de uma única vez. Pois quanto maior o volume numa única venda, melhores são
os descontos. Como não temos a previsibilidade das quantidades, não conseguimos ofertar nossos
melhores preços. Talvez fosse o caso está central especificar as quantidades de compras iniciais;
- Risco da administração pública não conseguir contratar dentro do orçamento de 173 milhões, tendo
que desclassificar várias empresas dentro do orçamento, mas fora das especificações e exigências.
- Evitar problemas semelhantes aos que estão sendo enfrentados em processo semelhante no de outros
órgãos. Erros no dimensionamento das propostas técnicas e desclassificações em massa.
Resposta: Não acatada. Não se justifica tecnicamente tal solicitação. A equipe técnica procurou
definir as especificações técnicas e condições de prestação do serviço de modo a manter um nível
elevado de competitividade entre os fornecedores.
Sugestão 7:
Manifestação: Considerando que o TR prevê a entrega de equipamentos importados em todos os estados
da federação e, considerando que as unidades que receberão esses equipamentos não são contribuintes
do ICMS, então, dependendo do estado de origem e do estado de destino, haverá a necessidade de
recolhimento de ICMS SUBSTITUIÇÃO TRIBUTÁRIA/ diferencial de alíquota no estado de destino.
Portanto, dependendo do estado da federação em que se encontrar cada licitante, esta poderá ser
beneficiada ou prejudicada com um custo adicional. Apenas como exemplo, se a licitante estiver
sediada em Brasília/DF e tiver que enviar os equipamentos para o estado do Rio de Janeiro, haverá a
necessidade de recolhimento de ICMS ST de 17%, adicionais ao recolhimento do ICMS interestadual
de 4%. Sendo assim, sugerimos que o MPOG faça a previsão do reflexo desse diferencial de alíquota no
momento dos lances, igualando as condições a todos os licitantes. Para que a competição seja justa, a
sugestão é que o valor do lance a ser considerado seja apenas com a alíquota interestadual e que no
fechamento da proposta final, após a decisão do vencedor, seja incluído o diferencial de alíquota por
estado, ficando claro que para aquele licitante vencedor e para cada estado de destino será incluído o
valor relativo ao diferencial de alíquota, se houver. Basta verificar no exemplo que do DF para RJ, serão
17% a mais. Já de outro estado de origem, pode não haver este diferencial e a licitante vencedora neste
caso estará sendo beneficiada.
Resposta: Não acatada. Não é viável a APF ficar administrando alíquota de ICMS diferenciada
nos Estados em que estão sediadas as empresas. Cada CONTRATANTE tem que cotar olhando a
sua própria realidade do estado onde está sediado.
Sugestão 8:
Manifestação: Na tabela de LOTES no item 1.1, os itens 2 a 5 de cada lote tratam de funcionalidades de
segurança distintas. Considerando que diversas soluções existentes no mercado possuem uma forma de
comercialização em que são incluídas em uma mesma licença todas as funcionalidades exigidas nos
itens 2 a 5, comumente chamadas de BUNDLE, e que por conta disto, ficam mais baratas do que a soma
das licenças adquiridas separadamente, sugerimos a inclusão de um item, em cada lote, em que as
licitantes possam cotar o preço de uma licença que contenha todas as funcionalidades solicitadas nos
itens 2 a 5. Esta opção de uma licença agrupando todas as funcionalidades será mais barata que a soma
de todas elas em separado. Caso algum órgão deseje comprar apenas uma das funcionalidades, terá a
opção de escolher, da forma como está dividido hoje.
Resposta: Não acatada. Os descontos devem ser calculados por item considerando os volumes
totais estimados de contratação. Não haverá tratamento para combinações.
Sugestão 9:
Manifestação: Considerando que os equipamentos do item 1 de cada LOTE serão entregues e instalados
independentemente se as funcionalidades dos itens 2 a 5 tenham sido adquiridas, entendemos que o
aceite definitivo dos equipamentos (item 1) se dará independentemente do aceite dos demais itens (2 a
5). Está correto o entendimento?
Resposta: O entendimento está incorreto. O aceite definitivo será dado de forma única para todos
os itens que compõem o lote.
Sugestão 10:
Manifestação: Solicitamos sua análise para que o local de realização dos testes de bancada seja isento
neutro e de controle do MPOG.
Resposta: Parcialmente acatada. O item foi reformulado na nova versão do TR.
Sugestão 11:
Manifestação: A troca de qualquer unidade defeituosa deverá ser realizada em conformidade com os
prazos estabelecidos abaixo.
24x7x4 para as Capitais: Brasília, Rio de Janeiro e São Paulo: Vinte e quatro horas por dia, sete dias por
semana. Entrega na localidade da contratante em até 4 horas do momento em que se diagnosticou, no
chamado, a necessidade de troca. O tempo de entrega do equipamento para troca começa a ser contado
do momento em que se diagnosticou, no chamado, a necessidade de troca.
8x5xNBD para as demais Capitais e regiões metropolitanas: Oito horas por dia, cinco dias por semana,
com entrega no próximo dia útil, para chamados abertos até as 14:00h (horário local). Após as 14:00h
(horário local) o chamado passa a ser contado para o dia útil subsequente ao próximo (2-business-days).
O tempo de entrega do equipamento para troca começa a ser contado do momento em que se
diagnosticou, no chamado, a necessidade de troca.
8x5x3BD para as demais regiões (não metropolitanas): Oito horas por dia, cinco dias por semana, com
entrega até três dias úteis, para chamados abertos até as 14:00h (horário local). Após as 14:00h (horário
local) o chamado passa a ser contado para o dia útil subsequente ao próximo (4-business-days). O
tempo de entrega do equipamento para troca começa a ser contado do momento em que se diagnosticou,
no chamado, a necessidade de troca.
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.
Sugestão 12:
Manifestação: Em relação ao Item 2.2 Solução de gerência centralizada do Termo de Referência: Por se
trata de uma Ata de Registro de Preços, entendemos que o componente de gerência poderá ser
desvinculado dos Lotes de fornecimento de Firewall multifuncional devido as suas múltiplas
possibilidades de fornecimento e de licenciamento que variam, sobretudo, de acordo com a quantidade
de firewalls a serem gerenciados. Dessa forma, quanto for conveniente a cada órgão e/ou entidade
pública a contratação imediata dos Lotes desejados terão também a flexibilidade de escolher a
plataforma de gerência que melhor se encaixar as necessidades de sua infraestrutura. Estando de acordo
com esse entendimento, seria possível a criação de novos Lotes para gerência, de acordo com a
quantidade de elementos gerenciados?
Resposta: Não acatada. A especificação desse item foi definida tendo em vista as necessidades dos
órgãos participantes.