Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 1/22
ANEXO I
TERMO DE REFERÊNCIA
OBJETO
CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA
PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE
VULNERABILIDADES DE SEGURANÇA
Contratação de suporte para estruturação da segurança da informação, incluindo,
diagnósticos, análises, avaliações e testes de penetração (Intrusão) com
fornecimento de relatórios específicos de avaliação de vulnerabilidades expostas em
aplicações no ambiente WEB.
Será contratado banco de horas, onde através de OS (Ordem de Serviço) serão
debitadas as horas devidas para cada análise.
Antes de cada solicitação de OS a Contratada e a Contratante fecharão o escopo da
análise, bem como definição das horas consumidas.
Dentro das horas firmadas nas OS´s estarão computadas todas as etapas dos testes,
desde execução e apresentação dos relatórios.
A OS somente será considerada aberta após fechamento do escopo e das horas
consumidas, com aval das partes.
TABELA DE COMPOSIÇÃO DOS ITENS Item Características Quantidade
1 Atividades Técnicas de Avaliação de Vulnerabilidade
Teste de Penetração (Pentest) 1000 horas
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 2/22
DESCRIÇÃO DETALHADA PARA TESTES DE PENETRAÇÃO (Pentest)
1.1. A atividade de Testes de Invasão poderá ser do tipo Externo e
Interno e terá como objetivo principal identificar, mapear, documentar,
controlar e corrigir possíveis vulnerabilidades nos sistemas, processos e
ativos de infraestrutura tecnológica. Estes testes envolvem,
necessariamente, o uso de técnicas e ferramentas específicas para
tentar obter acesso não autorizado e privilegiado aos ativos e
informações. Para a realização dos testes de invasão deverão ser
observadas as orientações e técnicas emanadas pelos seguintes
padrões internacionais, além de outros apresentados pela empresa
contratada, caso haja, em seu portfólio, normativos que,
comprovadamente, complementem os demonstrados abaixo:
1.1.1. OSSTMM 3 (The Open Source Security Testing Methodology Manual);
1.1.2. ISSAF/PTF (Information Systems Security Assessment Framework);
1.1.3. NIST Special Publication 800-115 (Technical Guide to Information
Security Testing and Assessment);
1.1.4. NIST Special Publication 800-42 (Guideline on Network Security
Testing);
1.1.5. OWASP TESTING GUIDE 3.0 - The Open Web Application Security
Project.
1.2. O teste de invasão deverá obedecer às seguintes fases:
1.2.1. Planejamento;
1.2.2. Descoberta;
1.2.3. Ataque (exploração);
1.2.4. Relatório de recomendações;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 3/22
1.2.5. Reunião para apresentação do relatório de recomendações e
descrição das atividades executada durante o teste
1.2.6. Reavaliação, novo teste pós remediação
1.2.7. Relatório final pós remediação
1.3. A Contratada deverá observar que os testes, simulações de
invasão ilícita e não autorizada a ativos e informações (Teste de
Invasão), serão executados internamente (qualquer ponto da rede
corporativa da Prefeitura da Cidade de São Paulo definido pela
Contratada) ou externamente (através da Internet).
1.4. Os alvos dos “Testes de Invasão” bem como as premissas e
condições para realização dos mesmos serão, necessariamente,
definidos e aprovados.
1.5. Todas as fases dos “Testes de Invasão” serão acompanhadas e
supervisionadas a critério da CONTRATANTE.
1.6. Quaisquer atividades com suspeita de comprometimento de algum
ambiente ou ativo deverá ser imediatamente reportada, antes de sua
execução, haja vista a necessidade de manter a disponibilidade dos
ambientes e serviços ativos.
1.7. Deverá ser utilizada, pelo menos, 01 (uma) ferramenta de análise
de vulnerabilidade comercial e 01 (uma) ferramenta de análise de
vulnerabilidade gratuita, além de técnicas manuais de análise de
vulnerabilidade. As ferramentas deverão ser apresentadas para ciência e
aprovação em sua utilização, antes de sua efetiva utilização, assim como
a metodologia para análise manual de vulnerabilidades.
1.7.1. A ferramenta de análise de vulnerabilidade comercial deverá
contemplar, ao menos, as seguintes características:
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 4/22
1.7.1.1. Prover identificação e correlação de ameaças, além de avaliar o
potencial risco das vulnerabilidades encontradas;
1.7.1.2. Fornecer evidências de ativos “não vulneráveis” através de provas
conclusivas como:
1.7.1.2.1. Resultados de varreduras esperados e obtidos;
1.7.1.2.2. Lista de ativos não analisados;
1.7.1.2.3. Falhas nas varreduras;
1.7.1.3. A solução de análise de vulnerabilidades não deve ser baseada na
necessidade de instalação prévia de agentes no ambiente corporativo;
1.7.1.4. Resultados de varredura enviados para o banco de dados através
da rede corporativa devem ser criptografados;
1.7.1.5. Fornecer cobertura de conteúdo para executar verificações com
autenticação e sem autenticação;
1.7.1.6. Suportar métricas de pontuação baseadas em risco;
1.7.1.7. Suportar o armazenamento seguro de credenciais, para uso em
varreduras autenticadas, usando as credenciais para se autenticar em
sistemas Windows, UNIX ou qualquer ativo de infraestrutura, tais
como dispositivos de rede, etc.;
1.7.1.8. Permitir o acesso seguro ao back-end do banco de dados de modo
a permitir a mineração de dados para possíveis relatórios
personalizados que sejam solicitados;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 5/22
1.7.1.9. Deve ser certificado pelo EAL Common Criteria e validar a
criptografia FIPS-140-2;
1.7.1.10. O processo de varredura deve ter um impacto mínimo sobre a rede,
não superior a 10 Mbps de tráfego;
1.7.1.11. Permitir o ajuste de desempenho para adequar a quantidade de
banda consumida na rede durante a varredura de análise de
vulnerabilidades, tanto para a realização de varreduras que consumam
menos recursos, como para a realização de varreduras mais rápidas
que consomem mais recursos;
1.7.1.12. A descrição de vulnerabilidade deve possuir no mínimo os
seguintes detalhes:
1.7.1.12.1. Nome
1.7.1.12.2. Nível de Risco
1.7.1.12.3. Intrusiva (sim / não)
1.7.1.12.4. Descrição
1.7.1.12.5. Observação
1.7.1.12.6. Recomendação de Remediação
1.7.1.12.7. Link do patch ou da correção
1.7.1.12.8. Número CVE
1.7.1.12.9. SANS / FBI referência Top 20
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 6/22
1.7.1.12.10. IAVA (Information Assurance Vulnerability Alert) Referência
1.7.1.13. Realizar análise de vulnerabilidades segundo as seguintes
tecnologias:
1.7.1.13.1. XCCDF
1.7.1.13.2. OVAL
1.7.1.13.3. CVSS
1.7.1.13.4. CVE
1.7.1.13.5. CPE
1.7.1.13.6. CCE
1.7.1.14. Fornecer extensão para varredura de aplicações Web totalmente
integrada a solução de análise de vulnerabilidades;
1.7.1.15. Possuir capacidade de descoberta e geração de inventário de
servidores e aplicações Web através do rastreamento (crawling) de
servidores Web e seus conteúdos, a fim de identificar e analisar seu
conteúdo, resultando em uma lista categorizada de servidores Web e
os objetos que residem neles;
1.7.1.16. Fornecer visualização da aplicação web através de relatório de
'mapa do site';
1.7.1.17. Fornecer análise detalhada de scripts e páginas estáticas
descobertas em servidores web analisados que reflete as strings de
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 7/22
conexão de banco de dados, endereços de e-mail, campos de
formulário ocultos e outros itens potencialmente sensíveis;
1.7.1.18. Suporte para Web 2.0 / JavaScript;
1.7.1.19. Suportar autenticação para varredura de aplicações web protegidas
por credenciais;
1.7.1.20. Gerar relatórios que ilustrem: request made, injection point,
response given;
1.7.1.21. Fornecer suporte para Varredura em 'modo seguro'.
1.8. Deverá realizar testes de vulnerabilidades e invasão em endereços
IP’s, URL´s, aplicações, ou outro ativo definido do ambiente
computacional, composto por servidores, banco de dados, ativos de rede
e outros equipamentos relacionados ao teste de invasão.
1.9. Deverá ser elaborado o “PLANO DE TESTE DE PENETRAÇÃO”,
para cada teste que será realizado, contemplando as informações de
PLANEJAMENTO do teste, tais como:
1.9.1. Objetivos, premissas e escopo do teste, datas e horas dos testes,
metodologia de análise de vulnerabilidades, descrição das ações
realizadas, metodologias, vulnerabilidades encontradas, categorização
e severidade das vulnerabilidades, possíveis problemas aplicáveis,
recomendações e controles de segurança necessários para correção
das vulnerabilidades, apresentação das evidências apuradas, fontes
de pesquisa, referências e ferramentas utilizadas.
1.9.2. Também na fase de planejamento, deverão ser atendidas e
apresentadas, no mínimo, as seguintes informações:
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 8/22
1.9.2.1. Detalhes da infraestrutura alvo dos testes de invasão;
1.9.2.2. Equipamentos e recursos demandados para este teste;
1.9.2.3. Tipos de ataque;
1.9.2.4. Prazos (janelas de tempo para execução dos testes);
1.9.2.5. Pontos de contato da contratada (responsáveis para tratamento de
questões não abordadas nos testes);
1.9.2.6. Tipos de testes a serem realizados pelos especialistas em
segurança da informação, devendo-se observar:
1.9.2.6.1. Quanto à abordagem:
1.9.2.6.1.1. Coletar informações sobre o ambiente corporativo,
utilizando-se das seguintes técnicas;
1.9.2.6.1.2. Técnica da caixa-preta (pouco ou nenhum conhecimento
sobre o ambiente a ser avaliado. O ambiente deverá ser
descoberto pelo especialista);
1.9.2.6.1.3. Técnica da caixa branca (o avaliador tem acesso irrestrito a
qualquer informação que possa ser relevante ao teste);
1.9.2.6.1.4. Técnica da caixa cinza ou híbrida (conhecimento limitado
sobre o alvo);
1.9.2.6.2. Quanto à forma de publicidade:
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 9/22
1.9.2.6.2.1. Teste informado;
1.9.2.6.2.2. Teste não informado;
1.9.2.6.2.3. Informações detalhadas dos testes em si;
1.9.3. Na fase da DESCOBERTA deverão ser atendidos os seguintes
quesitos e apresentado “RELATÓRIO DE DESCOBERTA DE TESTE
DE PENETRAÇÃO”, entre outros:
1.9.3.1. Coleta de informações, sendo classificadas em:
1.9.3.2. Coleta passiva, onde deverá ser utilizada, no mínimo, as seguintes
técnicas:
1.9.3.3. Whois e nslookup (consultas DNS);
1.9.3.4. Sites de busca;
1.9.3.5. Listas de discussão;
1.9.3.6. Blogs de colaboradores;
1.9.3.7. Dumpster diving ou trashing;
1.9.3.8. Informações livres;
1.9.3.9. Packet sniffing “passive eavesdropping”;
1.9.3.10. Captura de banner.
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 10/22
1.9.3.11. Coleta ativa, onde deverá ser utilizada, no mínimo, as seguintes
técnicas:
1.9.3.11.1. Port scanning (Mapeamento de rede);
1.9.3.11.2. Varredura de vulnerabilidade.
1.9.3.12. A varredura de vulnerabilidade deverá verificar/identificar, entre
outros:
1.9.3.12.1. Hosts ativos na rede;
1.9.3.12.2. Portas e serviços em execução;
1.9.3.12.3. Serviços ativos e vulneráveis nos hosts;
1.9.3.12.4. Sistemas operacionais;
1.9.3.12.5. Vulnerabilidades associadas com sistemas operacionais e
aplicações descobertas;
1.9.3.12.6. Configurações feitas nos hosts sem observância de boas
práticas em segurança computacional;
1.9.3.12.7. Identificação de rotas e estimativa de impacto, caso estas
sejam modificadas/desconfiguradas;
1.9.3.12.8. Identificação de vetores de ataque e cenários para
exploração;
1.9.3.12.9. Vulnerabilidades Detectadas (CVE);
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 11/22
1.9.3.12.10. Vulnerabilidades de Alto Risco;
1.9.3.12.11. Vulnerabilidades de Médio Risco;
1.9.3.12.12. Vulnerabilidades de Baixo Risco;
1.9.3.12.13. Informações a serem aplicadas na 3ª fase (fase de ataques);
1.9.3.13. Dos serviços e aplicações web:
1.9.3.13.1. Uso indevido de sistema de arquivos e arquivos temporários;
1.9.3.13.2. Evasão de informação por configurações default de
tratamento de erros;
1.9.3.13.3. Tratamento indevido de entrada;
1.9.3.13.4. Problemas relacionados à má configuração dos serviços;
1.9.3.13.5. Gerenciamento inseguro de sessões web;
1.9.4. Na fase de ATAQUE deverão ser apresentadas, dentro do
“RELATÓRIO DE ATAQUES DO TESTE DE PENETRAÇÃO”, as
seguintes informações:
1.9.4.1. Confirmação ou refutação de a existência de vulnerabilidades;
1.9.4.2. Documentação sobre o caminho utilizado para exploração,
avaliação do impacto e prova da existência da vulnerabilidade;
1.9.4.3. Obtenção de acesso e possível escalada de privilégios;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 12/22
1.9.4.4. Deverão ser aplicados, no mínimo, os seguintes tipos de ataques:
1.9.4.4.1. Violações do protocolo HTTP;
1.9.4.4.2. SQL Injection;
1.9.4.4.3. LDAP Injection;
1.9.4.4.4. Cookie Tampering;
1.9.4.4.5. Cross-Site Scripting (XSS);
1.9.4.4.6. Directory Transversal;
1.9.4.4.7. Buffer Overflow;
1.9.4.4.8. OS Command Execution;
1.9.4.4.9. Command Injection;
1.9.4.4.10. Remote Code Inclusion;
1.9.4.4.11. Server Side Includes (SSI) Injection;
1.9.4.4.12. File disclosure;
1.9.4.4.13. Information Leak;
1.9.4.4.14. Zero day attacks;
1.9.4.4.15. DDos (Distribuited Denial of Service);
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 13/22
1.9.4.4.16. Dos (Denial of Service);
1.9.4.4.17. Contra protocolo TCP;
1.9.4.4.18. Ataques contra a aplicação.
1.9.4.5. Os ataques de negação de serviços, contra protocolo TCP e em
nível da aplicação deverão, cada qual, explorar/demonstrar/utilizar as
seguintes técnicas:
1.9.4.5.1. Para ataques de negação de serviços:
1.9.4.5.2. Bugs em serviços, aplicativos e sistemas operacionais;
1.9.4.5.3. SYN flooding;
1.9.4.5.4. Fragmentação de pacotes de IP;
1.9.4.5.5. Smurf e fraggle;
1.9.4.5.6. Teardrop, nuke e land.
1.9.4.5.7. Para ataques contra o protocolo TCP:
1.9.4.5.8. Sequestro de conexões;
1.9.4.5.9. Prognóstico de número de sequência do protocolo TCP;
1.9.4.5.10. Ataque de Mitnick;
1.9.4.5.11. Source routing.
1.9.4.5.12. Para ataques em nível da aplicação:
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 14/22
1.9.4.5.13. Buffer Overflow ;
1.9.4.5.14. Problemas com o SNMP;
1.9.4.5.15. Vírus, worms e cavalos de Tróia.
1.9.4.6. Injeção de Código;
1.9.4.7. Ataques XSS (Cross-site Script);
1.9.4.8. Comprometimento do acesso remoto;
1.9.4.9. Manutenção de acesso;
1.9.4.10. Encobrimento de rastros da invasão;
1.10. Para testes de invasão direcionados, especificamente, aos serviços
prestados via WEB, tanto Intranet quanto Internet, deverão ser
observados e aplicados, os seguintes testes baseados na publicação
OWASP TESTING GUIDE 3.0 (The Open Web Application Security
Project):
1.10.1. Para testes de coleta de informações, aplicar padrão: OWASP-IG-
001, OWASP-IG-002, OWASPIG-003, OWASP-IG-004, OWASP-IG-
005 e OWASP-IG-006;
1.10.2. Para testes de gerenciamento de configuração, aplicar padrão:
OWASP-CM-001, OWASP-CM-002, OWASP-CM-003, OWASP-CM-
004, OWASP-CM-005, OWASP-CM-006, OWASP-CM-007,
OWASPCM-008;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 15/22
1.10.3. Para testes de autenticação, aplicar padrão: OWASP-AT-001,
OWASP-AT-002, OWASP-AT-003,OWASP-AT-004, OWASP-AT-005,
OWASP-AT-006, OWASP-AT-007, OWASP-AT-008, OWASP-AT-009
e OWASP-AT-010;
1.10.4. Para testes de gerenciamento de sessão, aplicar padrão: OWASP-
SM-001, OWASP-SM-001, OWASP-SM-002, OWASP-SM-003,
OWASP-SM-004, OWASPSM-005;
1.10.5. Para testes de autorização, aplicar padrão: OWASP-AZ-001,
OWASP-AZ-002 e OWASP-AZ-003;
1.11. Para testes de negócio lógico, aplicar padrão: OWASP-BL-001;
1.12. Para testes de validação de dados, aplicar padrão: OWASP-DV-
001; OWASPDV-002, OWASPDV-003, OWASP-DV-004, OWASP-DV-
005, OWASP-DV-006, OWASP-DV-007, OWASP-DV-008, OWASPDV-
009, OWASP-DV-010, OWASP-DV-011, OWASP-DV-012, OWASP-DV-
013, OWASP-DV-014, OWASPDV-015 e OWASP-DV-016;
1.13. Para testes de negação de serviços, aplicar padrão: OWASP-DS-
001, OWASP-DS-002, OWASPDS-003, OWASP-DS-004, OWASP-DS-
005, OWASP-DS-006, OWASP-DS-007 e OWASP-DS-008;
1.14. Para testes de serviços web, aplicar padrão: OWASP-WS-001,
OWASP-WS-002, OWASP-WS-003, OWASP-WS-004, OWASP-WS-005,
OWASP-WS-006 e OWASP-WS-007.
1.15. Observa-se que o resultado de cada teste deverá vir acompanhado
de relatórios contendo:
1.16. Referência-base (Whitepaper);
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 16/22
1.17. Ameaças encontradas;
1.18. Riscos levantados ao ambiente computacional;
1.19. Contramedidas para mitigar as ameaças encontradas.
1.20. Após a entrega do relatório “RELATÓRIO DE ATAQUES DO
TESTE DE PENETRAÇÃO”, a CONTRATANTE terá até 60 dias para
aplicar as ações corretivas das vulnerabilidades relatadas, após esse
prazo a CONTRATADA terá 10 dias para refazer o ataque e emitir novo
relatório (“RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”),
apontando a remediação ou não das vulnerabilidades.
2. ATIVIDADES DE APOIO
2.1. PLANO DE TRABALHO com o detalhamento do escopo dos testes
e cronograma de execução;
2.2. RELATÓRIOS DE ACOMPANHAMENTO SEMANAIS do plano de
trabalho;
2.3. APRESENTAÇÃO INICIAL das ações a serem aplicadas pela
Contratada;
3. DEVERES E RESPONSABILIDADES DA CONTRATANTE
3.1. Proporcionar todas as facilidades para a Contratada executar o
fornecimento do objeto do presente Termo de Referência, permitindo o
acesso dos profissionais da Contratada às suas dependências. Esses
profissionais ficarão sujeitos a todas as normas internas da
CONTRATANTE, principalmente as de segurança, inclusive àquelas
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 17/22
referentes à identificação, trajes, trânsito e permanência em suas
dependências;
3.2. Promover o acompanhamento e a fiscalização da execução do
objeto do presente Termo de Referência, sob o aspecto quantitativo e
qualitativo, anotando em registro próprio as falhas detectadas;
3.3. Comunicar prontamente à Contratada qualquer anormalidade na
execução do objeto, podendo recusar o recebimento, caso não esteja de
acordo com as especificações e condições estabelecidas no presente
Termo de Referência;
3.4. Fornecer à Contratada todo tipo de informação interna essencial à
realização dos fornecimentos e dos serviços;
3.5. Conferir toda a documentação técnica gerada e apresentada
durante a execução dos serviços, efetuando o seu atesto quando esta
estiver em conformidade com os padrões de informação e qualidade
exigidos;
3.6. Homologar os serviços prestados, quando estes estiverem de
acordo com o especificado no Termo de Referência;
3.7. Efetuar o pagamento à Contratada;
4. DEVERES E RESPONSABILIDADES DA CONTRATADA
4.1. Atender a todas as condições descritas no presente Termo de
Referência e respectivo Contrato;
4.2. Manter as condições de habilitação e qualificação exigidas durante
toda a vigência do Contrato;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 18/22
4.3. Responder pelas despesas relativas a encargos trabalhistas,
seguro de acidentes, contribuições previdenciárias, impostos e quaisquer
outras que forem devidas e referentes aos serviços executados por seus
empregados, uma vez que estes não têm nenhum vínculo empregatício
com a CONTRATANTE;
4.4. Abster-se, qualquer que seja a hipótese, de veicular publicidade ou
qualquer outra informação acerca das atividades objeto do Contrato, sem
prévia autorização da CONTRATANTE;
4.5. Dar ciência, imediatamente e por escrito, de qualquer anormalidade
que verificar na execução do objeto bem como prestar esclarecimentos
que forem solicitadas;
4.6. Manter sigilo absoluto sobre informações, dados e documentos
provenientes da execução do Contrato e também às demais informações
internas da CONTRATANTE a que a CONTRATATA tiver conhecimento;
4.7. Elaborar e apresentar documentação técnica dos fornecimentos e
serviços executados nas datas agendadas, visando sua homologação
pela CONTRATANTE;
4.8. Alocar profissionais devidamente capacitados e habilitados para os
serviços contratados;
4.9. A equipe de profissionais envolvida para exercer as funções, deve
possuir as seguintes certificações ou equivalentes:
4.9.1. Certificação CISSP – Certified Information Systems Security
Professional;
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 19/22
4.9.2. Certificação CISM - Certified Information Security Manager;
4.9.3. Certificação CEH - Certified Ethical Hacker;
4.9.4. Certificação GISP – GIAC Information Security Professional;
4.9.5. Certificação GCIH – GIAC Certified Incident Handler;
4.9.6. Certificação GCIA – GIAC Certified Intrusion Analyst;
4.9.7. Certificação CRISC - Certified in Risk and Information Systems
Control;
4.9.8. Certificação ITIL Foundation – Information Technology Infrastructure
Library;
5. PRAZO
5.1. O prazo máximo para início dos serviços é de 30 dias a contar da data de
assinatura do Contrato;
5.2. O prazo para conclusão das Ordens de Serviço (OS), incluindo, diagnósticos,
análises, avaliações e testes com fornecimento de relatórios específicos de
avaliação de vulnerabilidades do ambiente relacionados neste Termo de
Referência é de no máximo 30 dias a partir do início das atividades, podendo
a CONTRATADA iniciar suas análises em até 5 dias úteis após abertura da
OS.
6. ACEITE
O aceite será emitido pela Contrata em até 5 dias corridos a partir da entrega
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 20/22
do “RELATÓRIO FINAL DO TESTE DE PENETRAÇÃO”.
7. PAGAMENTO
A CONTRATANTE pagará a CONTRATADA pela Ordem de Serviço (OS)
executada, em até 30 dias após recebimento da fatura e aprovação com a
emissão do TERMO DE ACEITE emitido pela Contratante.
8. PENALIDADES
Caso haja atraso na entrega do relatório final, haverá multa de 1% por dia de
atraso, calculado sobre o valor do contrato global.
9. ATESTADO
A CONTRATADA deverá apresentar Atestado de Capacidade Técnica,
passado em papel timbrado, emitido por entidade pública ou privada, que
demonstre o correto cumprimento de obrigações da mesma natureza do objeto
do presente Edital.
Todos os atestados deverão ser emitidos por empresa que possuam no
mínimo 300 servidores em seu ambiente.
10. VALIDADE DO CONTRATO
O contrato terá validade de 36 meses, podendo ser renovado até o limite legal
da Lei 8666.
11. CONFIDENCIALIDADE
11.1. A CONTRATADA deverá zelar pelo sigilo de quaisquer informações
referentes à estrutura, sistemas, usuários, contribuintes, topologia, e ao modo
de funcionamento e tratamento das informações da CONTRATANTE, durante
e após fim do contrato, salvo se houver autorização expressa da Contratante
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 21/22
para divulgação;
11.2. A CONTRATADA deverá assinar contrato de sigilo das informações
geradas e acessadas durante todo o processo de análise.
11.3. A não observância desse qualquer fato poderá ser considerada
espionagem e será motivo de processo civil e criminal conforme legislação
vigente.
Avenida Francisco Matarazzo, 1500 Torre Los Angeles – Água Branca CEP 05001-100 – São Paulo – SP Caixa Postal 3971 – CEP 01060-970 Tel.: (011) 3396- 9000 (DDR) Fax: (011) 3396- 9001 www.prodam.sp.gov.br
CT 14 14 TR_PEN_Test_v5 29/08/2014 22/22
ANEXO II
ORDEM DE SERVIÇO – Nº
PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO
(PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA
CONTRATO Nº ................. PREGÃO 99.999/99
A presente ordem de serviço é celebrada em conformidade com o procedimento para
PRESTAÇÃO DE SERVIÇOS DE EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST)
E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA, previstos no Contrato Nº.........,
firmado entre a EMPRESA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO
MUNICÍPIO DE SÃO PAULO – PRODAM-S/A -SP e a CONTRATADA, em vigor desde ___
de ___________ de _______, sendo incorporada ao mesmo por referência.
Período Valor Total Quantidade de horas Início Fim
TOTAL GERAL
Para efeito do cumprimento desta ORDEM DE SERVIÇO a CONTRATANTE indica o
seguinte responsável:
Nome:
Gerência: Unidade: Matrícula:
Endereço:
Telefone: Fax:
São Paulo, ______ de _____________________ de 20__
CONTRATANTE CONTRATADA
Top Related