Informamos que em caso de divergência entre as especificações do objeto constantes do Edital e as constantes do sistema do Compras.gov.br, prevalecerão as do Edital.
Além dos esclarecimentos que forem prestados, orientamos aos licitantes que também consultem nossa página de FAQ - Perguntas Frequentes, em especial os questionamentos recorrentes relacionados a Licitações.
Em relação à documentação técnica complementar a ser enviada anexa à proposta comercial, conforme consta do subitem 9.1.1.1 do Edital, esclarece-se que dentre as informações técnicas devem constar necessariamente os part numbers, quando for o caso, de forma a facilitar a conferência do cumprimento dos requisitos técnicos do objeto ofertado.
___________________________________________________________________
Questionamento 1) Acerca do subitem 3.1.3.1, integrante do item 3.1.3, que trata das Características para funcionalidades de FWaaS (Firewall as a Service):
“3.1.3.1. A solução deverá suportar capacidades de Firewall como serviço via agentes instalados nas máquinas dos usuários nas plataformas Windows, Linux, IOS, MacOS e Android;”
Nestes termos, a exigência de implementação exclusivamente via agentes locais em todos os sistemas operacionais mencionados, pode restringir a competitividade da licitação, ao excluir soluções modernas que utilizam arquiteturas de segurança mais flexíveis e escaláveis.
O próprio edital já prevê, em seu subitem 3.1.3.2, a obrigatoriedade de suporte a túneis IPsec de 350 Mbps, e, no item 3.1.3.3, estabelece que toda a inspeção e aplicação de políticas de Firewall deverá ser realizada na nuvem, independentemente do método de implantação. Esses dois requisitos evidenciam que a Administração admite o uso de abordagens agentless, como túneis de rede (IPsec/GRE) ou gateways de acesso seguro, em complemento ou alternativa aos agentes locais.
Adicionalmente, ressaltamos que em plataformas como Linux e Android existe uma grande diversidade de versões de kernel, distribuições e bibliotecas, o que implica em uma necessidade de atualizações frequentes e adaptações constantes dos agentes locais. Esse fator pode comprometer a estabilidade da solução e gerar riscos operacionais, enquanto métodos agentless (como os já previstos no edital) oferecem maior robustez e escalabilidade.
Diante disso, questionamos:
a) O objetivo principal do requisito é garantir a instalação de um agente local em cada sistema operacional listado, ou assegurar que a solução seja capaz de inspecionar e aplicar políticas de segurança a todo o tráfego originado nessas plataformas, conforme previsto no item 3.1.3.3?
Resposta 1.a) Conforme informado pela área técnica, o objetivo do requisito é assegurar que dispositivos com os principais sistemas operacionais do mercado sejam devidamente protegidos pela solução de FWaaS. Essa abrangência é especialmente relevante para acessos realizados por meio de dispositivos móveis, como celulares e notebooks.
Nesse contexto, uma solução SASE com cliente instalado (agent-based) possibilita uma análise mais profunda e contextualizada das vulnerabilidades e do comportamento do dispositivo protegido. Em contrapartida, uma solução clientless (sem agente) oferece uma visibilidade mais limitada, uma vez que depende exclusivamente do tráfego que transita por gateways ou do acesso realizado via navegador.
Dessa forma, mantém-se a exigência da utilização de agente instalado como requisito essencial para garantir o nível de visibilidade, controle e segurança esperado na proteção dos dispositivos de acesso.
b) A Administração consideraria o requisito atendido em plataformas como Linux e Android caso a solução comprove a capacidade de realizar inspeção completa do tráfego por meio de redirecionamento para o firewall em nuvem, utilizando túneis IPsec/GRE ou gateways de rede (físicos ou virtuais), conforme já contemplado no item 3.1.3.2?
Resposta 1.b) Conforme informado pela área técnica, não se considera o requisito atendido, uma vez que, em cenários onde o dispositivo esteja comprometido por malware ou outro tipo de código malicioso, a simples inspeção do tráfego por meio de túneis IPsec/GRE não é suficiente para detectar ou conter a ameaça em sua origem (endpoint).
A abordagem baseada exclusivamente em redirecionamento de tráfego permite apenas a análise e o bloqueio de comunicações maliciosas que transitem pelo firewall em nuvem, não oferecendo visibilidade sobre o comportamento interno do dispositivo, seus processos, ou eventuais tentativas de exploração locais. Dessa forma, a capacidade de detecção e resposta fica restrita ao tráfego visível em rede, não abrangendo a superfície de ataque do dispositivo (endpoint) comprometido.
c) Entendemos que flexibilizar a forma de implementação, priorizando o resultado esperado (cobertura de segurança e inspeção centralizada em nuvem) em vez da imposição de um único método (agente local), permitirá ao TRT avaliar um leque mais amplo de tecnologias avançadas, alinhadas às melhores práticas de mercado e em consonância com os próprios requisitos do edital. Nosso entendimento está correto?
Resposta 1.c) Conforme afirmado pela área técnica, o entendimento não está correto.
Questionamento 2) Acerca da alínea b, do subitem 3.1.1.24, integrante do item 3.1.1:
“3.1.1.24. O agente único deve ser compatível com no mínimo os seguintes sistemas operacionais:
a) Windows 10 ou superior;
b) Linux kernel 6.6 ou superior;
c) MacOS 13 ou superior;
d) IOS 16 ou superior, e;
e) Android 12 ou superior." (sem grifos no original)
Sabemos que vários fabricantes de mercado utilizam as distribuições para homologação e compatibilidade (e não a versão do kernel). Desta forma entendemos que podemos considerar para este item, a compatibilidade com pelo menos os seguintes sistemas operacionais: Linux Ubuntu 22.02 e 24.04; Mint Desktop 21 (Cinnamon Edition) ou superior; Red Hat nterprise v9.4 (Plow) ou superior; Debian 12 (Bookworm) ou superior - visto que o kernel vem sempre no centro de uma distribuição, logo, podemos tratar desta forma. Nosso entendimento está correto?
Resposta 2) Conforme informado pela área técnica, o entendimento está correto.
Questionamento 3) Com relação ao GRUPO 1, sobre as licenças de firewalls, pergunta-se a este Tribunal: há possibilidade de flexibilizar a inspeção a ser feita fora do território nacional?
Resposta 3) Conforme informado pela área técnica, o edital não estabelece, para o Grupo 1, a obrigatoriedade de que a inspeção de tráfego dos equipamentos NGFirewall ocorra integralmente dentro do território nacional.
Entretanto, ressalta-se que os serviços de suporte e garantia referentes ao Grupo 1 devem ser prestados de forma presencial (“on-site”) nas sedes dos Tribunais, situadas em território brasileiro.
Além disso, o contrato determina que os equipamentos do Grupo 1 sejam instalados — e, consequentemente, realizem a inspeção principal do tráfego — nas sedes dos Tribunais participantes, todas localizadas no Brasil.
Questionamento 4) Referente ao item 3.1.3.1:
"A solução deverá suportar capacidades de Firewall como serviço via agentes instalados nas máquinas dos usuários nas plataformas Windows, Linux, IOS, MacOS e Android;"
Buscando assegurar a contratação da solução mais avançada e eficaz para as necessidades de segurança do TRT, e tendo em vista a identificação de um produto de alta qualidade de um fabricante líder de mercado e uma opção superior para o ambiente do TRT, questionamentos o seguinte:
A obrigatoriedade do suporte via agentes para todas as plataformas listadas (Windows, Linux, iOS, macOS e Android), conforme a especificação 3.1.3.1, poderia ser interpretada com flexibilidade. Entendemos que a primazia da excelência tecnológica geral da solução – proveniente de um fabricante reconhecido por sua qualidade superior e características inovadoras – permite que as plataformas Linux e Android sejam consideradas como desejáveis, e não como requisitos estritamente necessários, caso o produto de escolha preferencial ofereça uma abordagem igualmente eficaz ou superior para a proteção desses ambientes, ainda que sua metodologia para algumas dessas plataformas possa ser distinta (e.g., via gateway ou outros mecanismos de controle) em vez de um agente cliente local convencional para cada sistema operacional.
Suportamos a análise do tráfego de rede e de requisições DNS através de um túnel IPSEC ou GRE, montado a partir de um Firewall existente, Gateway do próprio órgão ou gateway fornecido pela Netskope., fazendo que o Firewall as a Service da Netskope avalie, controle e tome ações no tráfego de rede e DNS.
Documentação:
https://docs.netskope.com/en/ipsec
https://docs.netskope.com/en/gre
Entendemos que desta maneira, a solução atende ao item 3.1.3.1?
Resposta 4) Conforme informado pela área técnica, o entendimento não está correto. Não é possível flexibilizar o cumprimento das exigências nos termos solicitados pois o Edital prevê claramente que a solução deverá suportar capacidades de Firewall como serviço via agentes instalados nas máquinas dos usuários, que permite uma análise mais profunda e contextualizada das vulnerabilidades e do comportamento do dispositivo a ser protegido.
O objetivo desta exigência é garantir que a segurança dos acessos mesmo que os dispositivos do usuário estiverem comprometido localmente, caso em que a inspeção via túnel IPsec/GRE, por si só, não é suficiente para detectar ou conter a ameaça na origem (endpoint) — apenas pode bloquear ou inspecionar o tráfego malicioso que passar pelo firewall em nuvem.
Questionamento 5) Referente Métricas Web: i - Tempo de resposta do Servidor;
Entendemos que por "tempo de resposta do servidor" a solução atenderá caso consiga monitorar uma aplicação interna e uma aplicação pública disponível na internet, como Microsoft Teams, Microsoft One Drive, Google Gmail e Google Drive. Nosso entendimento está correto?
Resposta 5) Conforme informado pela área técnica, o entendimento está correto.
Questionamento 6) Com base no entendimento veiculado no Acórdão 3.056/2008 do Tribunal de Contas da União (TCU), que define a matriz como o estabelecimento sede ou principal de onde emanam as diretrizes, e as filiais como estabelecimentos subordinados, sem personalidade jurídica própria distinta, pertencentes à mesma pessoa jurídica.
Compreendemos que os atestados de capacidade técnica devem ser considerados como documentos comprobatórios da capacidade operacional da pessoa jurídica como um todo. Entendemos que atestados emitidos tanto para o Cadastro Nacional de Pessoas Jurídicas (CNPJ) da Matriz quanto para o CNPJ de filiais seriam aceitáveis, independentemente do CNPJ (Matriz ou filial) que o proponente utilize para participar da licitação.
Gostaríamos de confirmar se este entendimento, de que a comprovação da capacidade técnica se estende à pessoa jurídica como um todo e que, portanto, atestados emitidos para matriz ou filiais são igualmente válidos, está correto para os fins deste processo licitatório?
Resposta 6) Conforme informado pela área técnica, está correto o entendimento. Visto que a capacidade técnico-operacional diz respeito à experiência da pessoa jurídica, o atestado emitido para a matriz ou filial comprova a experiência da entidade empresarial como um todo, independentemente de qual CNPJ específico (matriz ou filial) tenha participado do certame, desde que façam parte do mesmo grupo econômico/pessoa jurídica. Ressalta-se apenas que a qualificação técnico-profissional, referente aos profissionais que atuarão na contratação, quando for apresentada, precisa ser de quem vai de fato se responsabilizar pela atividade.
Questionamento 7) Considerando que a matriz e as filiais constituem estabelecimentos de uma mesma pessoa jurídica, sem distinção de personalidade jurídica própria, entendemos que, caso a licitante ofereça proposta por meio de sua matriz, e desejar faturar e executar os serviços por meio de uma de suas filiais, ou seja, a licitante poderá celebrar o contrato com o CNPJ da matriz e faturar com o CNPJ da filial. Está correto o nosso entendimento?
Resposta 7) Conforme informado pela área técnica, o entendimento está correto.
Questionamento 8) Referente ao item 9.1.1.1. do presente Edital, que estabelece a obrigatoriedade de apresentação da documentação técnica complementar, vejamos:
“9. DO CONTEÚDO DA PROPOSTA COMERCIAL
9.1. A proposta comercial deverá ser devidamente assinada pelo representante legal e detalhar o objeto com no mínimo as seguintes informações:
9.1.1. Detalhamento dos produtos e/ou serviços ofertados.
9.1.1.1. Anexa à proposta comercial deve ser enviada documentação técnica complementar para facilitar a comprovação das características do objeto ofertado."
Considerando que a solução a ser ofertada para o Grupo 3 não possui indicação de marca e modelo, com base no item 9.1.1.1. entendemos que deverá ser enviado planilha, que correlacionem explicitamente cada requisito técnico com às especificações contidas na referida documentação com indicação de documento, site e página de cada comprovação.
Diante do exposto, gostaríamos de confirmar se este entendimento está correto. Caso negativo, solicitamos que a Administração esclareça de que forma será realizada a comprovação e a aferição do pleno atendimento das soluções ofertadas às exigências técnicas estabelecidas no Edital.
Resposta 8) Conforme informado pela área técnica, o entendimento está correto. Assim, o envio de planilha, que correlacionem explicitamente cada requisito técnico com às especificações contidas na referida documentação com indicação de documento, site e página de cada comprovação atende ao edital. Contudo, o envio de documentação técnica dos produtos como prospectos e manuais dos fabricantes contendo a descrição dos requisitos exigidos, de forma a permitir a aferição das exigências do Edital também será aceito.
Questionamento 9) Em análise ao item 9.1.1.1.3.2 que segue:
“9.1.1.1.3.2. Todo o material técnico originalmente elaborado em língua estrangeira deverá ser acompanhado de tradução em língua portuguesa."
Considerando a natureza técnica e o vasto volume de documentação que acompanha soluções de alta tecnologia, como as requeridas neste edital, e o fato de que a língua inglesa é a língua padrão da indústria para especificações e manuais de fabricantes de equipamentos de rede e segurança (como NGFW, SASE, ZTNA), seria possível que a apresentação de material técnico em língua inglesa seja aceita?
Resposta 9) Conforme informado pela área técnica, o entendimento não está correto. Deve ser enviada uma tradução para o português do Brasil, mesmo que seja um documento apartado com texto puro, sem tipografia.
Questionamento 10) Conforme a composição dos itens 11, 12 e 13 do Grupo II do referido edital:
“Grupo II - Aquisição de licenciamento e equipamentos para promover conexão de rede SD-WAN via Firewall”
“Item 11 do Edital - Equipamento Next Generation Firewall (appliance SD-WAN e funcionalidades agregadas) com serviço de garantia e atualização de assinaturas de proteção e suporte técnico em regime 24x7 por 60 meses – Tipo VI”
“Item 12 do Edital - Equipamento Next Generation Firewall (appliance SD-WAN e funcionalidades agregadas) com serviço de garantia e atualização de assinaturas de proteção e suporte técnico em regime 24x7 por 60 meses – Tipo VII.”
"Item 13 do Edital - Equipamento Next Generation Firewall (appliance SD-WAN e funcionalidades agregadas) com serviço de garantia e atualização de assinaturas de proteção e suporte técnico em regime 24x7 por 60 meses – Tipo VIII."
Estes incluem hardware e software na formação total de custo de cada item, considerando a legislação tributária vigente – Lei complementar 116/2016 – o qual determina que softwares e serviço não devem ser faturadas como hardware, Critérios de Medição e Pagamentos, nos quais se referem a recolhimento de ICMS e DIFAL, para o correto faturamento e recolhimento de impostos, entendemos que os eventos de pagamento serão independentes, ou seja, hardwares e softwares terão seus pagamentos efetuados após a entrega e a emissão dos respectivos termos de aceite. Além disso, as notas fiscais serão emitidas conforme a natureza específica de cada item. Nosso entendimento está correto?
Resposta 10) Conforme consta do item 3.8 da página de Perguntas Mais Frequentes (FAQ), não há óbice em realizar emissão das Notas Fiscais de forma separada, de acordo com a natureza de cada prestação, desde que respeitado o somatório dos valores firmados e detalhados na proposta.
Questionamento 11) No Anexo I – Especificações Técnicas para a Solução de Next Generation Firewall, o item 1.4.15 define as características referentes a solução de gerencia centralizada para a solução de Next Generation Firewall, os subitens 1.4.15.75, 1.4.15.76 e 1.4.15.77, definem que a solução ofertada devem possuir a capacidade de validação contínua de políticas de segurança, por meio de simulações e validações baseadas em procedimentos e táticas que validem a mitigação de vulnerabilidade e ataques baseados em Advanced Persistent Threat (APT). Vejamos:
“1.4.15.75. O sistema deve realizar validação contínua das políticas e controles de segurança por meio de simulações em ambiente real; Deve possuir suporte de integração com plataformas de SIEM, permitindo análise e correlação de eventos em tempo real;
1.4.15.76. Possuir uma biblioteca de ameaças atualizada diariamente, contendo, no mínimo, 15.000 técnicas de táticas e procedimentos (TTPs) e 3.000 tipos de ameaças, incluindo exploits de vulnerabilidades e ataques APTs;
1.4.15.77. Possibilitar geração de relatórios personalizados que evidenciem mudanças na postura de segurança ao longo do tempo, incluindo recomendações específicas para mitigações baseadas no fornecedor e no cenário da ameaça;”
Nesse cenário, entendemos que, soluções que não suportem nativamente as funcionalidades referentes aos itens 1.4.15.75, 1.4.15.76 e 1.4.15.77, poderão ser compostas por duas ou mais soluções afim de atender às necessidades técnicas do Termo de Referência, desde que, tais composições possuam o licenciamento necessário para atender às necessidades do TRT 12, atendendo integralmente às necessidades de período de licenciamento por pelo menos 60 meses, devendo ainda, em caso de composição, os custos, detalhamentos e part numbers constarem em proposta comercial, está correto o entendimento? Caso o entendimento esteja diverso, pedimos a gentileza de esclarecer qual a interpretação da Administração para o atendimento desses requisitos.
Também compreendemos que, independentemente de a solução ser única ou composta por mais de uma ferramenta para atender aos requisitos citados, é mandatório que todas as capacidades definidas nos itens 1.4.15.75, 1.4.15.76 e 1.4.15.77 sejam integralmente cumpridas.
Adicionalmente, nosso entendimento é que a comprovação dessas capacidades deverá ser realizada durante o processo de habilitação, mediante a apresentação de documentação original e de domínio público fornecida pelo(s) fabricante(s) da(s) solução(ões) ofertada(s). Solicitamos a confirmação se este entendimento está correto?
Resposta 11) Conforme informado pela área técnica, o entendimento está correto. Com efeito, independentemente de a solução ser única ou composta por mais de uma ferramenta para atender aos requisitos citados, é mandatório que todas as capacidades definidas nos itens 1.4.15.75, 1.4.15.76 e 1.4.15.77 sejam integralmente cumpridas.
Questionamento 12) Em análise ao Anexo I – Especificações Técnicas para a Solução de SD-WAN e Next Generation Firewall, o item 2.4.2 detalha as características da solução, comuns aos tipos VI, VII e VIII, no que se refere aos itens 11 a 13 da especificação técnica. O subitem 2.4.2.11 especifica as características referentes aos tipos de conexões que devem ser suportadas pela solução ofertada, conforme transcrito abaixo:
“2.4.2. Características Gerais (…) (…)”
“ 2.4.2.11. Deverá suportar, através de interfaces Ethernet, simultaneamente múltiplos acessos através de diferentes meios de transmissão, como MPLS, Internet Banda Larga, 5G/4G.”;
Compreendemos que, ao definir que as interfaces Ethernet devem suportar simultaneamente múltiplos acessos através de diferentes meios de transmissão, o referido item implica que as interfaces Ethernet dos equipamentos ofertados não deverão apresentar limitações de processamento, seja este simultâneo ou não, para tráfegos provenientes de protocolos como MPLS, PPPoE ou 5G/4G. Em outras palavras, interpretamos que o requisito se estende à capacidade plena de processamento de qualquer tipo de tráfego, advindo desses diferentes meios, sem restrições inerentes à interface Ethernet ou ao processamento da solução.
Gostaríamos de confirmar se este entendimento está correto. Caso o entendimento da Administração seja diverso, solicitamos, por gentileza, que esclareça a interpretação e as expectativas relativas a essa capacidade das interfaces Ethernet.
Resposta 12) Conforme informado pela área técnica, o entendimento está correto.
Questionamento 13) Com relação ao Grupo 3 (Solução de SASE (Secure Access Service Edge) e ZTNA (Zero Trust Network Acces)., pergunta-se a este Tribunal: há possibilidade de flexibilizar a inspeção a ser feita fora do território nacional?
Resposta 13) Conforme informado pela área técnica, não é possível flexibilizar a inspeção a fora do território nacional, pois a exigência está em conformidade com as boas práticas previstas nas normas do Governo Federal, Outrossim, o processamento Internacional pode aumentar a latência e prejudicar a experiência dos usuários nos acessos aos sistemas de TIC.
A exigência de processamento em território nacional tem por objetivo assegurar a soberania, a segurança e a integridade das informações sob responsabilidade da Administração Pública Federal. Tal medida está em consonância com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD, a Portaria SGD/MGI nº 5.950/2023, que disciplina a Política de Governo Digital e Estratégia de Nuvem de Governo, entre outros normativos que orientam para o tratamento de informações públicas em infraestruturas que garantam controle jurisdicional, proteção adequada e continuidade operacional.
Além disso, por mais que hajam artifícios para mitigar as ameaças, o processamento de dados fora do território nacional pode sujeitar às informações públicas à legislação estrangeira, dificultar a supervisão pelos órgãos de controle (CGU, TCU e ANPD) e comprometer a soberania informacional do Estado, além de não eliminar os riscos jurídicos e operacionais decorrentes de conflitos de jurisdição e eventuais sanções internacionais.
Além das questões normativas, o processamento fora do Brasil pode aumentar a latência do tráfego, o que comprometeria a experiência dos usuários.
Questionamento 14) Referente ao item 3.1.1.15 do edital, que estabelece que “todas as inspeções e aplicações de políticas de controle de acesso e segurança devem ser processadas em data center localizado no Brasil”, solicitamos gentilmente o seguinte esclarecimento:
Nossa solução tecnológica possui infraestrutura de rede com pontos de presença (POPs) localizados exclusivamente em território nacional, garantindo conectividade, disponibilidade e conformidade com a legislação brasileira. No entanto, a inspeção de pacotes e aplicação de políticas de segurança é realizada em ambiente de nuvem do fabricante, fora do Brasil, em conformidade com padrões internacionais de segurança e privacidade, incluindo a LGPD. Diante disso, gostaríamos de saber se:
a) A exigência do item 3.1.1.15 se refere exclusivamente à localização física dos dados e metadados processados, ou se há margem para soluções que utilizem processamento fora do Brasil, desde que:
- Os dados sejam criptografados em trânsito e em repouso;
- Não haja armazenamento permanente de dados fora do território nacional;
- A solução esteja em conformidade com a LGPD e demais normas aplicáveis;
- Haja representação legal da empresa no Brasil, com responsabilidade sobre o tratamento dos
dados.
Resposta 14.a) Conforme informado pela área técnica, não há margem para soluções que utilizem processamento fora do Brasil, independente de suas condições.
A exigência de processamento em território nacional tem por objetivo assegurar a soberania, a segurança e a integridade das informações sob responsabilidade da Administração Pública Federal. Tal medida está em consonância com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD, a Portaria SGD/MGI nº 5.950/2023, que disciplina a Política de Governo Digital e Estratégia de Nuvem de Governo, entre outros normativos que orientam para o tratamento de informações públicas em infraestruturas que garantam controle jurisdicional, proteção adequada e continuidade operacional.
Além disso, por mais que hajam artifícios para mitigar as ameaças, o processamento de dados fora do território nacional pode sujeitar às informações públicas à legislação estrangeira, dificultar a supervisão pelos órgãos de controle (CGU, TCU e ANPD) e comprometer a soberania informacional do Estado, além de não eliminar os riscos jurídicos e operacionais decorrentes de conflitos de jurisdição e eventuais sanções internacionais.
Além das questões normativas, o processamento fora do Brasil pode aumentar a latência do tráfego, o que comprometeria a experiência dos usuários.
b) Seria possível a participação de soluções que, embora realizem inspeção fora do Brasil, apresentem plano de adequação técnica, com cronograma para migração dos serviços de inspeção para data centers localizados no Brasil, conforme exigência do edital?
Resposta 14.b) Conforme informado pela área técnica, não é possível, pois o edital prevê que o processamento seja em território nacional até na data prevista para a entrega do objeto, sem a possibilidade de começar a prestação sem atender ao requisito e depois ajustar a conduta.
Questionamento 15) Em análise ao Anexo I (Termo de Referência) deste certame, que estrutura a contratação em grupos distintos conforme suas finalidades tecnológicas, observamos que o Grupo IV contempla a prestação de serviços gerenciados de administração, operação e suporte técnico relacionados aos equipamentos especificados nos Grupos I e II. Onde o item 4.1.1.8 determina:
“4.1.1.8 os serviços ofertados devem prever, no mínimo, 10 (dez) horas por mês de serviço de suporte de nível 2 e 3 do fabricante".
Compreendemos que o suporte técnico de níveis 2 e 3 é, via de regra, prestado diretamente pelo Centro de Assistência Técnica (TAC) do fabricante, frequentemente na modalidade de Professional Services, os quais são usualmente incluídos nos contratos de licenciamento de hardware e software.
Considerando, no entanto, a possibilidade de que os grupos sejam adjudicados a empresas distintas, e na hipótese de a licitante contratada para o Grupo IV não ser a mesma responsável pelos Grupos I e/ou II, o atendimento ao requisito do item 4.1.1.8 dependerá da contratação específica dos serviços de Professional Services do fabricante (especialmente Check Point, se este for o fabricante em questão), a fim de assegurar a execução do suporte de níveis 2 e 3.
Diante do exposto, nosso entendimento é que as licitantes interessadas em disputar o Grupo IV deverão prever em suas propostas os custos correspondentes à contratação, junto ao fabricante, das 10 (dez) horas mensais de suporte técnico de nível 2 e 3 por entidade contratante, durante toda a vigência contratual.
Solicitamos a confirmação se este entendimento está correto.
Resposta 15) Conforme informado pela área técnica, o entendimento está correto.
Questionamento 16) Considerando o disposto no Grupo III, item 14 do Termo de Referência, que trata da “Licença de uso de solução de SASE (Secure Access Service Edge) e ZTNA (Zero Trust Network Access) por usuário pelo período de 60 meses”, solicitamos esclarecimento quanto à natureza da contratação. Observa-se que a redação do item indica a solução como um serviço, entretanto, tecnicamente, soluções de SASE e ZTNA são plataformas de segurança fornecidas sob modelo de licença de uso (software) mesmo quando comercializadas em modalidade subscription (assinatura), não configuram um serviço típico de outsourcing ou operação gerenciada. Ademais, o item 3.1.1.30 estabelece que “a solução deverá armazenar os logs de auditoria por no mínimo 3 meses”, o que reforça a característica de solução tecnológica com gestão própria de dados, e não de um serviço prestado por terceiros. Diante disso, solicitamos o esclarecimento:
a) O Tribunal considera o fornecimento da solução SASE/ZTNA como serviço continuado, ou como licença de uso (software) durante o período de 60 meses?
b) Em caso de se tratar de licença de uso, o modelo de fornecimento pode ser por assinatura (subscription), desde que contemple todos os requisitos funcionais e de suporte exigidos no edital?
c) Entendemos que o fluxo de pagamento referente ao item em questão será realizado mensalmente considerando o modelo por usuário/mês estabelecido no edital, está correto o nosso entendimento?
Resposta 16) Conforme informado pela área técnica, o objeto prevê a disponibilidade do serviço SASE como licença de uso, nos termos do edital, por um prazo de 60 meses. No entanto, as quantidades são definidas para períodos de 12 meses (e não pelo prazo total de 60 meses), sendo que é possível reduzir ou aumentar a quantidade de licenças ao término de cada período. Com as quantidades definidas para o período de 12 meses, o efetivo pagamento pela execução é realizado mensalmente, após a utilização dos serviços. Trata-se de serviço contínuo pois tem como objetivo a manutenção da atividade administrativa e decorre de necessidade prolongada, porém, não se trata de serviço de outsourcing ou operação gerenciada.
Questionamento 17) Considerando o teor do Grupo III, item 14 do edital, que trata da “Licença de uso de solução de SASE (Secure Access Service Edge) e ZTNA (Zero Trust Network Access) por usuário pelo período de 60 meses”, vimos por meio deste solicitar esclarecimentos acerca de possível favorecimento a determinado fabricante, especificamente a Check Point. Conforme verificado, a Check Point é fornecedora dos equipamentos de firewall e segurança em outros grupos do presente certame. Ocorre que, no Grupo III, a exigência da solução de SASE/ZTNA não obriga o fornecimento da solução de firewall necessária para a execução do SPA (Security Policy Access), permitindo que a licitante que já fornece o firewall (Check Point) utilize a infraestrutura já existente no órgão. Tal condição, entretanto, impõe desvantagem técnica e financeira aos demais fabricantes, que deverão incluir em suas propostas toda a estrutura de firewall e integração necessária para o pleno funcionamento da solução, enquanto a Check Point não teria tal necessidade — o que caracteriza favorecimento indevido e fere o princípio da isonomia e da competitividade, conforme disposto no art. 5º, caput e inciso V, da Lei nº 14.133/2021, além de contrariar entendimentos consolidados do Tribunal de Contas da União (TCU) sobre vedação de direcionamento técnico. Diante disso, solicitamos esclarecimento e/ou revisão do edital, nos seguintes termos:
Confirmar se a licitante que já fornece a solução de firewall (Check Point) poderá utilizar a infraestrutura existente no órgão, sem novo fornecimento. Caso afirmativo, solicitar a revisão do edital para que todas as licitantes inclusive a Check Point devam fornecer a solução de firewall necessária à integração com o SASE/ZTNA, garantindo isonomia e igualdade de condições técnicas. Reforçar que o não ajuste pode caracterizar direcionamento técnico e contrariar os princípios previstos nos arts. 5º, 7º e 9º da Lei 14.133/2021, bem como o entendimento do Acórdão TCU nº 2622/2013 Plenário, que veda cláusulas que gerem vantagem indevida a determinado fabricante, está correto o entendimento?
Resposta 17) Conforme informado pela área técnica, o entendimento não está correto, pois não há previsão de integração da solução SASE/ZTNA com a solução de NGFirewall Checkpoint instalada nos órgãos participantes.
Questionamento 18) Considerando o disposto no item 3.1.7 do Termo de Referência, que trata da “Ferramenta de Iscas Digitais (Deception)”, vimos por meio deste solicitar esclarecimentos quanto à alocação deste item dentro do Grupo III. Observa-se que a funcionalidade de Deception (isca digital) é, por natureza, uma solução de segurança perimetral e de detecção de ameaças avançadas, atuando em camadas de proteção de rede e endpoint, usualmente integrada a soluções de firewall de próxima geração (NGFW), EDR/XDR e SIEM. Dessa forma, a inserção da Ferramenta de Deception no Grupo III, que contempla itens como SASE e ZTNA soluções voltadas à conectividade segura e controle de acesso baseado em identidade, parece tecnicamente desalinhada com a finalidade da tecnologia de iscas digitais, cuja aplicação está mais relacionada ao monitoramento interno, correlação de eventos e resposta a incidentes, escopos normalmente agrupados junto às soluções de firewall e detecção de intrusão. Assim, considerando os princípios da técnica, economicidade e competitividade previstos na Lei nº 14.133/2021, solicitamos os seguintes esclarecimentos:
a) Qual o critério técnico adotado para a inclusão da Ferramenta de Deception no Grupo III, ao invés de estar agrupada com as soluções de firewall e segurança de perímetro (Grupos I ou II)?
Resposta 18.a) Conforme informado pela área técnica, as funcionalidades de Deception são necessárias para integrar o SASE com a solução XDR contratada na Ata de Registro de Preços nº 20/2024, vigente, resultante do Pregão Eletrônico nº 30/2024 - PROAD nº 22.093/2024 do TRT2. Como os principais eventos de segurança da informação ocorridos na JT foram com usuários externos, via VPN, decidiu-se por aprimorar o monitoramento na solução de conexão remota com as iscas proporcionadas pelo Deception.
b) Há justificativa técnica que demonstre a dependência ou integração direta da Ferramenta de Deception com as soluções de SASE e ZTNA descritas neste grupo?
Resposta 18.b) Conforme informado pela área técnica, as funcionalidades de Deception são necessárias para integrar o SASE com a solução XDR contratada na Ata de Registro de Preços nº 20/2024, vigente, resultante do Pregão Eletrônico nº 30/2024 - PROAD nº 22.093/2024 do TRT2, que resultou em contratos vigentes para vários Tribunais trabalhistas. Este requisito foi uma decisão colegiada dos órgãos participantes da licitação.
c) Caso não haja relação técnica direta, solicitamos revisão da alocação do item 3.1.7, de modo que este componha o grupo de soluções de segurança perimetral (firewall), garantindo coerência técnica, ampla concorrência e isonomia entre os licitantes.
Resposta 18.c) Conforme informado pela área técnica, há relação técnica direta, indicada na resposta anterior 18.b.
Questionamento 19) No presente edital, observou-se a exigência dos seguintes requisitos:
“10.5. Referente à qualificação econômico-financeira será exigida a apresentação de:
10.5.1. Certidão negativa de feitos sobre falência, recuperação judicial ou extrajudicial, expedidas pelos distribuidores da sede do licitante.
10.5.2. Balanço patrimonial, demonstração de resultado de exercício e demais demonstrações contábeis dos 2 (dois) últimos exercícios sociais, apresentados na forma da lei, vedada a substituição por balancetes ou balanços provisórios, que comprovem Índices de Liquidez Geral (LG), Liquidez Corrente (LC) e Solvência Geral (SG) superiores a 1 (um), assim calculados:
LG = AC + ARLP PC + PNC | LC = AC PC | SG = AC + ANC PC + PNC |
Sendo:
AC = Ativo Circulante PC = Passivo Circulante
ANC = Ativo Não Circulante PNC = Passivo Não Circulante
ARLP = Ativo Realizável a Longo Prazo” (sem grifos no original)
Embora compreendamos e respeitemos o zelo da Administração Pública na adoção desses parâmetros, entendemos que a fixação exclusiva de índices contábeis superiores a 1 pode, em determinadas circunstâncias, restringir a competitividade do certame, sem necessariamente refletir a real capacidade econômico-financeira das empresas.
É sabido que tais índices podem sofrer variações significativas a depender do segmento de atuação e do momento econômico vivenciado pela empresa. Por exemplo, sociedades que realizam grandes investimentos para ampliação de sua estrutura ou que operam em regime de grupo econômico (com repasses entre matriz e filiais) podem apresentar índices reduzidos, ainda que disponham de robusta capacidade financeira e técnica.
Ressaltamos, ainda, que a aferição da aptidão contratual deve considerar um conjunto mais amplo de elementos, como a estrutura operacional, experiência técnica comprovada, capital social, patrimônio líquido e histórico de adimplência — aspectos estes que, em verdade, traduzem de forma mais fiel a capacidade de cumprimento das obrigações assumidas.
Dessa forma, e em consonância com os arts. 96 a 98 da Lei nº 14.133/2021, entendemos ser juridicamente possível e administrativamente conveniente permitir que empresas que eventualmente não alcancem os índices mínimos estabelecidos possam demonstrar sua capacidade mediante a apresentação de garantia contratual (como seguro-garantia ou caução), observando-se o limite de até 5% do valor do contrato, ou até 10% quando justificado em razão da complexidade técnica.
Tal medida não apenas preserva a segurança da Administração, garantindo o fiel cumprimento contratual, como também amplia a competitividade, possibilitando a participação de empresas com comprovada capacidade técnica e histórico de boa execução, que poderiam ser afastadas unicamente em razão de variações contábeis momentâneas.
Importante destacar que, no Pregão Eletrônico nº 9665/2023, cujo objeto apresenta similaridade com o presente certame, não houve exigência de qualificação econômico-financeira mediante índices contábeis, sem que isso tenha comprometido a execução contratual. Este precedente demonstra, na prática, que a flexibilização aqui sugerida não compromete a finalidade pública, mas, ao contrário, reforça o caráter isonômico e competitivo da licitação.
Diante do exposto, respeitosamente entendemos que a apresentação de garantia contratual às licitantes que eventualmente não alcancem os índices mínimos previstos, nos termos dos arts. 96 a 98 da Lei nº 14.133/2021, deve ser aceita por este órgão, porquanto cumpre integralmente a finalidade da qualificação econômico-financeira, qual seja, assegurar a aptidão econômica do licitante para o fiel cumprimento das obrigações contratuais.
Tal medida, além de juridicamente amparada, mantém a proteção da Administração, ao mesmo tempo em que amplia a competitividade e garante a participação de empresas idôneas e tecnicamente capazes, mesmo que, por razões contábeis pontuais, não alcancem determinados índices.
Além disso, garante a seleção da proposta mais vantajosa para a Administração (art. 11, inciso I), assegura a plena execução contratual e preserva o interesse público, que é o objetivo maior de todos os envolvidos.
Nosso entendimento está correto?
Resposta 19) Conforme informado pela área técnica, durante o planejamento da contratação concluiu-se pelo estabelecimento de critérios mínimos de qualificação econômico-financeira, como os três índices fixados e com parâmetros mínimos, de forma a não criar restrição indevida à concorrência. Por essa razão também não se fixou a necessidade de prestação de garantia exatamente por não se adequar à forma de contratação, de pagamento dos itens de maior relevância técnica, e também para não criar uma restrição econômica desarrazoada. Assim, em que pese as sugestões de alternativas feitas pela interessada, a Administração entendeu, por meio dos estudos feitos pela equipe de planejamento e aprovados pela autoridade competente, que a exigência posta é a mais adequada, conveniente e oportuna, sem causar restrição indevida à participação e que não haveria necessidade de estabelecimento de formas alternativas de comprovação. Ainda, concluiu-se que a permissão de formas alternativas, embora juridicamente amparada, não seria conveniente nem oportuna por aumentar o risco de inexecução. Isso porque os critérios fixados já são reduzidos e que, de fato, empresas que não os atinjam possuem maior possibilidade de não conseguir arcar com o ônus decorrente da contratação, em especial para itens de execução continuada (por 60 meses) nos quais o dispêndio dos recursos pela Contratada junto ao fabricante é integral e antecipado, mas que o pagamento por parte do Contratante será parcelado. Dessa forma, o entendimento da empresa não está correto.
Questionamento 20) No item 3.1.3.1 do edital, exige-se que a solução ofertada ofereça suporte às plataformas Windows, Linux, iOS, MacOS e Android mediante o uso de cliente para redirecionamento do tráfego à nuvem SASE.
Entretanto, essa exigência, ao vincular o atendimento da funcionalidade exclusivamente ao uso de cliente proprietário para redirecionamento de tráfego, acaba por restringir a competitividade do certame, pois remete diretamente à tecnologia de um único fabricante específico – a Zscaler –, cuja arquitetura comercialmente conhecida se baseia nesse modelo de cliente próprio.
Tal exigência, da forma como redigida, caracteriza direcionamento indevido, ferindo diretamente os princípios da isonomia, da legalidade, da impessoalidade e, sobretudo, da economicidade, conforme estabelecido no art. 11º da Lei nº 14.133/2021, que rege as licitações e contratos administrativos.
Portanto, entendemos que o item 3.1.3.1 poderá (e deverá) ser atendido também por soluções que ofereçam os controles em nuvem para as plataformas mencionadas, independentemente da forma de redirecionamento de tráfego adotada (seja via cliente, túneis IPsec/GRE, ou outro meio equivalente), desde que garantido o pleno cumprimento dos requisitos funcionais e de segurança estabelecidos no edital.
Adicionalmente, cumpre destacar que nossa solução permite, por meio de agente, a inspeção de tráfego, detecção de malwares, avaliação de contexto e oferece elevado nível de visibilidade e controle de segurança, garantindo a proteção dos dispositivos e dos acessos.
No contexto de FWaaS (Firewall as a Service), é importante considerar que cada fabricante adota arquiteturas distintas para alcançar os mesmos objetivos funcionais. Com isso, entendemos que, ao oferecer proteção contra navegação, IPS web, prevenção contra ameaças como C&C e botnets, além do controle de acesso a aplicações privadas (como RDP, SSH, e outros protocolos não-web), nossa solução atende plenamente aos requisitos estabelecidos no edital.
Nosso entendimento está correto?
Resposta 20) Conforme informado pela área técnica, inicialmente reforçamos que flexibilizar as exigências previstas no item 3.1.3.1 do Edital significa abrir mão de uma análise mais profunda e contextualizada das vulnerabilidades e do comportamento do dispositivo a ser protegido, já que não haverá cliente instalado localmente.
O objetivo desta exigência é garantir que a segurança dos acessos mesmo se os dispositivos do usuário estiverem comprometido localmente, caso em que a inspeção via túnel IPsec/GRE, por si só, não é suficiente para detectar ou conter a ameaça na origem (endpoint) — apenas pode bloquear ou inspecionar o tráfego malicioso que passar pelo firewall em nuvem.
Não menos importante é destacar que, durante os estudos, a Equipe da Contratação avaliou que a solução Netskope oferece clientes (agentes) para todas as plataformas listadas, inclusive Linux e Android, conforme documentação oficial pública, disponível no endereço eletrônico https://docs.netskope.com/en/netskope-client-supported-os-and-platform.
Acreditamos ainda que a funcionalidade exigida pode ser integralmente atendida com a associação de produtos de mais de um fabricante.