requisiÇÃo de proposta 2014/059 requisiÇÃo de … · parceria com as gerência de sistemas...
TRANSCRIPT
REQUISIÇÃO DE PROPOSTA 2014/059
REQUISIÇÃO DE PROPOSTA – RFP PARA A CONTRATAÇÃO DE EMPRESA
PRESTADORA DE SERVIÇO ESPECIALIZADO NO FORNECIMENTO DE SOFTWARE E
SERVIÇOS PARA PRODUÇÃO DE CARTÕES, COM BANDEIRA PRÓPRIA, NO PADRÃO
EMV (Europay, MasterCard e Visa).
Esta Requisição de Proposta foi elaborada pela Gerência de Produtos e Serviços – GEPSE em
parceria com as Gerência de Sistemas (GESIS) e Gerência de Infraestrutura Tecnológica
(GERIT) da Cartão BRB S/A. Tem como objetivo expor aos interessados informações e
especificações dos produtos e serviços a serem contratados, descrevendo detalhadamente
as funcionalidades e requisitos necessários e, assim, servir de base para a apresentação de
propostas.
1. DA EMPRESA
A Cartão BRB carrega no seu DNA o orgulho de ser uma empresa genuinamente brasiliense.
A empresa administra os cartões de crédito do Banco de Brasília desde 1997 e valoriza a
regionalidade, entregando aos seus clientes cartões com o leiaute dos principais
monumentos da Capital Federal, reafirmando sua posição e compromisso com o cidadão de
Brasília.
Atenta às necessidades dos clientes e do mercado, a Cartão BRB atua com um portfólio
diversificado de produtos para os mais variados interesses e segmentos, que inclui cartões
de crédito, débito, pré-pago, múltiplos e private labels, somando cerca de 200 mil cartões
ativos. Tendo como foco os interesses dos clientes, a empresa está em constante adaptação
e pesquisa para o lançamento de novos produtos e serviços.
A Companhia tem por objetivo social exercer ou participar de Companhias que exerçam as
seguintes atividades, dentre outras:
I - desenvolvimento e prestação de serviços de:
a) administração e de processamento de transações de pagamento, aporte, transferência e
saque de recursos de contas de pagamento, pré ou pós-pagas, em moeda nacional ou
estrangeira, realizadas mediante a utilização de instrumentos de pagamento;
b) gestão de contas de pagamento pré ou pós-pagas;
c) emissão de instrumentos de pagamento;
d) conversão de moeda física ou escritural em moeda eletrônica, ou vice-versa, credenciar a
sua aceitação e gerir o uso de moeda eletrônica;
e) habilitação de recebedores para a aceitação dos instrumentos de pagamento;
f) administração dos pagamentos e recebimentos da rede de habilitados por meio da
captura, transmissão, processamento de dados, autorização e liquidação das transações
oriundas do uso dos instrumentos de pagamento, bem como a manutenção dos
agendamentos de tais valores em sistemas eletrônicos;
g) fornecimento, aluguel, instalação e manutenção de terminais eletrônicos ou outras
soluções adequadas para a captura, transmissão e processamento de dados referentes às
transações decorrentes do uso dos instrumentos de pagamento;
h) modalidade de contact center, SAC, central de atendimento e ouvidoria, através de
atendimento e teleatendimento ativo e receptivo, nas formas humana e eletrônica com
integrações CTI – Computer Telephony Integration;
i) instituição e administração de arranjos de pagamento de qualquer natureza,
especialmente relativos às atividades de refeição-convênio, alimentação-convênio, frota,
vale-transporte e outros.
2. DO OBJETO
Contratação de empresa para prestação de serviço especializado no fornecimento de
software para gerenciamento de chaves criptográficas RSA1 da Bandeira BRB e
preparação de templates para uso no CHIP alem de serviços para a produção de cartões no padrão EMV
2.
3. DA JUSTIFICATIVA.
A Cartão BRB, aderente à estratégia de expansão de seus negócios, decide adotar o modelo
de emissão dos cartões alimentação e refeição com a marca “Cartão BRB” como bandeira
própria, assim, se faz necessária a produção/aquisição de cartões com chip no padrão pré-
estabelecido no mercado, denominado EMV.
4. DO PLANO DE NEGÓCIO
Nos seis primeiros meses, como forma de certificar a qualidade e aderência do produto ao
mercado, a Cartão BRB fornecerá o cartão somente aos seus 150 colaboradores, estimando,
por mês, 300 cartões. Estima-se que a média mensal de movimentação é de 10 transações
por cartão.
Considerando o público detalhado acima e o faturamento previsto nos seis primeiros meses
do novo negócio, estima-se necessária a habilitação de uma rede de pelo menos 100
estabelecimentos fornecedores de alimentação e refeição (restaurantes, supermercados e
afins) em um período máximo de três meses.
A partir do sétimo mês, pretende-se aumentar o número de cartões fornecidos ao mercado
a partir da expansão para outras empresas do conglomerado BRB, incrementando, assim,
em 3000 novos clientes/portadores.
5. DOS SERVIÇOS QUE SERÃO PRESTADOS PELA CONTRATADA
A Empresa contratada deverá prestar serviço especializado no fornecimento
de software para gerenciamento de chaves criptográficas RSA da Bandeira
Cartão BRB e preparação de templates para uso no CHIP, além de serviços
para a produção de cartões no padrão EMV.
1 O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda
mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. 2 EMV, Padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito, hoje é o padrão de facto utilizado pelas
principais bandeiras de cartão de crédito, débito e voucher no mundo.
5.1 Aplicação do software no padrão EMV nos cartões de bandeira própria da
Cartão BRB.
A aplicação do software deve ser compatível com os padrões de cartões javacard, MULTOS
e/ou MULTOS step, independente do fornecedor do hardware (chip).
A contratada deverá prestar todo e qualquer tipo de suporte garantindo a conformidade
com a norma EMV.
5.2 Autoridade certificadora EMV completa.
A empresa deverá oferecer um pacote completo quanto ao gerenciamento de chaves RSA,
geração de certificado e, ainda, gestão do esquema da banderia própria Cartão BRB.
Assim, deverá ser garantida pela empresa contratada, a leitura do CHIP do cartão com
bandeira própria em todo e qualquer POS/PINPAD do mercado, cujos terminais estejam
preparados para trabalhar com padrão EMV.
5.3 Auxílio na preparação de dados e a geração do arquivo de embossing.
A empresa contratada deverá receber o arquivo (batch) no padrão tarja, transformar os
registros e, consequentemente, o arquivo para um layout de chip (após processamento no
HSM3), devendo esta interpretação (tarja para chip) ser processada junto à atual
3 HSM (hardware security module) é um dispositivo de computação física que guarda e gerencia chaves digitais para autenticação
fornecendo um processo de criptografia.
embossadora da contratante, sem que haja qualquer incremento no preço do plástico
atualmente pago.
5.4 Acordo do Sigilo e Confidencialidade
Deverão ser obedecidos às cláusulas do acordo do sigilo e confidencialidade, conforme
modelo ANEXO I.
5.5 Acordo de Nível de Serviço
O Contrato celebrado entre a Cartão BRB e a CONTRATANTE deverá ser composto com o
modelo de Acordo de Nível de Serviço, conforme ANEXO II.
6. DA SEGURANÇA E CONTINGÊNCIA
6.1 A CONTRATADA deverá seguir as exigências de segurança e contingência previstas a
seguir:
6.1.1 Plano de contingência e outros mecanismos que garantam a continuidade dos
serviços prestados;
6.1.2 Mecanismos de proteção e segurança dos dados armazenados, processados ou
transmitidos;
6.1.3 Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais
de comunicação com vistas a reduzir a vulnerabilidade a ataques;
6.1.4 Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes,
sistemas, bases de dados e módulos de segurança;
6.1.5 Monitoramento das falhas na segurança dos dados e das reclamações dos usuários
finais a esse respeito;
6.1.6 Revisão das medidas de segurança e de sigilo de dados, especialmente depois da
ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;
6.1.7 Elaboração de relatórios que indiquem procedimentos para correção de falhas
identificadas;
6.1.8 Realização de testes que assegurem a robustez e a efetividade das medidas de
segurança de dados adotadas;
6.1.9 Segregação de funções nos ambientes de tecnologia da informação destinados ao
desenvolvimento, teste e produção;
6.1.10 Identificação adequada do usuário final;
6.1.11 Mecanismos de autenticação dos usuários finais e de autorização das transações de
pagamento;
6.1.12 Processos para assegurar que todas as transações de pagamento possam ser
adequadamente rastreadas;
6.1.13 Mecanismos de monitoramento e de autorização das transações de pagamento, com
o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma
tempestiva;
6.1.14 Avaliações e filtros específicos para identificar transações consideradas de alto risco;
6.1.15 Notificação ao usuário final acerca de eventual não execução de uma transação; e
6.1.16 Mecanismos que permitam ao usuário final verificar se a transação foi executada
corretamente.
7. DA APRESENTAÇÃO DA PROPOSTA DE PREÇO
Apresentar quadro demonstrando os valores que serão cobrados para os serviços.
Serviços lite (não inclui serviços de autorização)
Volume cartões ativos Valores
Faixa Inicial Final Pacote Mensal Adicional por cartão
1 0 25.000 R$ 99999,99 R$ 99999,99
2 25.001 50.000 R$ 99999,99 R$ 99999,99
3 50.001 150.000 R$ 99999,99 R$ 99999,99
4 150.001 250.000 R$ 99999,99 R$ 99999,99
5 250.001 500.000 R$ 99999,99 R$ 99999,99
Serviços Valor único
Taxa global de setup do sistema nos datacenters da empresa contratada
R$ 99999,99
Custo de desenvolvimento de sistemas (no caso de necessidade quanto a
evolução do sistema )
Homem/Hora
Demonstrar sugestão de cronograma para implantação do projeto.
A proposta deverá conter, obrigatoriamente, a data de apresentação, o número do CNPJ da
empresa proponente e a referência à presente Requisição de Proposta.
Deverão estar computadas, no valor total da proposta apresentada, todas as despesas
referentes aos tributos, mão de obra, frete, embalagens e demais despesas incidentes
direta ou indiretamente no trâmite de fornecimento do produto.
A proposta apresentada deverá ter prazo de validade, no mínimo, de 30 dias.
8. DO CRITÉRIO DE JULGAMENTO DAS PROPOSTAS
Atendidas às disposições constantes no item 5, será considerada vencedora a proposta que
apresentar o MENOR VALOR GLOBAL dos serviços pontuados no item 7.
9. DA HABILITAÇÃO
9.1 Para habilitação nesta RFP será exigida, obrigatoriedade, regularidade fiscal nos
documentos constantes abaixo juntamente com a proposta comercial:
9.1.1 Comprovante de Inscrição e de Situação Cadastral do CNPJ junto à Receita Federal;
9.1.2 Certidão Negativa de Débitos à Dívida Ativa expedida pela Secretaria de Estado de
Fazenda do Distrito Federal;
9.1.3 Certidão Conjunta Negativa de Débitos Relativos a Tributos Federais e à Dívida Ativa
da União, junto à Receita Federal;
9.1.4 Certidão Negativa de Débitos - CND do INSS;
9.1.5 Certidão de Regularidade do FGTS emitida pela Caixa Econômica Federal; e
9.1.6 Certidão de Débitos Trabalhista junto ao TST.
9.2 Em momento posterior, será solicitado para a empresa vencedora o Estatuto Social da
empresa ou Contrato Social e identidade do representante legal, para formalização do
Contrato.
10. DAS DISPOSIÇÕES GERAIS.
10.1 A proposta, seus anexos e outras informações que a empresa participante julgar
necessárias transmitir juntamente com a proposta, deverão ser inseridos no Portal de
Compras e Contratações através do site da Cartão BRB (cartaobrb.com.br), link Compras e
Contratação, de forma consolidada com as documentações exigidas no item 8 desta
Requisição de Proposta;
10.2 Informações complementares, julgadas necessárias pelo fornecedor para elaboração
da proposta, poderão ser obtidas por meio de contato telefônico com a Cartão BRB, através
dos telefones (61) 3966-5425, referente a dúvidas sobre os serviços a serem prestados e o
telefone (61) 3051-5500 referente a dúvidas técnicas sobre o(s) sistema(s), das 9h às 12h
e das 14h às 17h em dias úteis e enquanto essa RFP estiver dentro do prazo de publicação;
10.3 A presente Requisição de Proposta é regida pela lei civil e de natureza privada;
10.4 A apresentação de proposta significará que a empresa fornecedora tomou
conhecimento de todas as informações e aceites das condições desta Requisição de
Proposta;
10.5 O simples envio de proposta por parte da empresa fornecedora não dá garantia de
assinatura de contrato junto à Cartão BRB para a aquisição objeto desta Requisição de
Proposta;
10.6 Nenhum custo decorrente da simples apresentação de proposta será coberto pela Cartão BRB.
Ivo Augusto Devós Alves Daniel Freitas Silva
Gerente de Produtos e Serviços Gerente de Sistemas
GEPSE GESIS
Marcelo José Lazary da Fonseca
Gerente de Infraestrutura Tecnológica
GERIT
ANEXO I
Acordo de Sigilo de Confidencialidade
A CONTRATADA obriga-se por si ou por qualquer pessoa a ela ligada, seja por seus
administradores, empregados, prepostos e comitentes, a qualquer título, a manter sigilo e
confidencialidade sobre quaisquer informações, dados cadastrais, documentos ou dados
técnicos fornecidos/mantidos pela CARTÃO BRB, susceptíveis ou não de proteção legal, a que
tiver acesso, seja em virtude da presente contratação a que tenha acesso, como em virtude
da permanência nas instalações da CARTÃO BRB, comprometendo-se a não utilizá-las em
proveito próprio ou de terceiros em geral, agindo em observância aos ditames do artigo 5º,
inciso X e XII da Constituição Federal, das Leis nº. 8.666/93, 9.279/96, 8.884/84 e LC nº.
105/2011, sob pena de responder, inclusive, por perdas e danos a que der causa, nos termos
do art. 408 e seguintes do Código Civil.
Parágrafo Primeiro: Somente os empregados da CONTRATADA diretamente envolvidos com
os trabalhos e atividades decorrentes do desenvolvimento do objeto deste contrato poderão
ter acesso às informações confidenciais, devendo ser informados de sua natureza sigilosa,
obrigando-se a CONTRATADA, de per si, a diligenciar e orientar para que tais empregados
observem os termos e condições aqui estabelecidos.
Parágrafo Segundo: Compromete-se a CONTRATADA a não reproduzir documentos ou outros
materiais que contenham informações confidenciais, exceto e conforme necessário para
cumprimento das obrigações assumidas para o desenvolvimento da prestação de serviços
contratada.
Parágrafo Terceiro: A obrigação de sigilo e confidencialidade subsistirá pelo período de 5
(cinco) anos contados da data do término ou rescisão do presente Contrato.
Parágrafo Quarto: Não estão inseridos na obrigação de sigilo e confidencialidade os dados e
informações públicos e notórios, bem como nos casos em que a entrega das informações se
dê por exigência de órgãos competentes ou por determinação judicial, desde que a CARTÃO
BRB tenha sido notificada previamente à liberação da informação e tenha sido requerido
segredo de justiça no seu trato administrativo e/ou judicial.
As obrigações contidas no presente instrumento não se aplicarão a qualquer das Informações
Confidenciais divulgadas pela parte reveladora, as quais a parte receptora consiga provar
que:
I. Encontram-se disponíveis ao público em geral ou tornaram-se, após a sua divulgação,
parte do domínio público através de publicação ou por outro meio qualquer, sem ter
havido culpa da Parte Receptora;
II. Já eram comprovadamente do conhecimento da parte receptora, antes de sua
divulgação, e não foram adquiridas, diretas ou indiretamente, da Parte Reveladora;
III. Foram, após sua divulgação, adquiridas de boa-fé, sem qualquer restrição de
confidencialidade, de terceiro que não se encontra obrigado a nenhum termo de
confidencialidade para com a Parte Reveladora;
IV. Não são mais tratadas como confidenciais pela Parte Reveladora.
Caso a CONTRATADA infrinja, ou ameace infringir, alguma das cláusulas de confidencialidade
aqui expressas, arcará com multa equivalente a 40% (quarenta por cento) do valor do
contrato informado na Cláusula XXXXXX, em virtude de dolo ou culpa, inclusive por atos de
seus funcionários, prepostos ou terceiros que obtiveram as informações ou documentos e,
ainda, as perdas incorridas em razão do uso indevido das informações e documentos, que
serão apuradas em processo próprio.
Parágrafo único: A presente cláusula subsistirá à rescisão ou ao término do Contrato,
independentemente do motivo de tal rescisão ou término.
ANEXO II
Acordo de Nível de Serviço
Este Acordo de Nível de Serviço (ANS) estabelece os níveis de suporte técnico,
disponibilidade e limitações de rede, além das responsabilidades da contratada inerentes ao
contrato.
1. Suporte Técnico
O suporte técnico estará disponível 24 horas/dia, 365 dias/ano.
2. Disponibilidade
A contratada deve assegurar disponibilidade mensal de 98% para os serviços de preparação
de dados, aplicação de autoridade certificadora, aplicação do cartão e autorização de
transações EMV, excluídos os períodos de inatividade planejada e de emergência.
3. Comunicação
Os incidentes de suporte serão abertos pela contratante através de interface de chamados
web. Outras formas de contato podem ser realizadas via contato telefônico (número
previamente disponibilizado para tal fim), entretanto o chamado sempre deve ser registrado
na interface de chamados web.
4. Classificação de incidentes e tempos de resposta
A contratada classificará os incidentes de acordo com os itens a seguir:
Prioridade Alta: incidentes que interrompem as atividades essenciais da contratante.
Prevê a estabilização do incidente em até 04 (quatro) horas a partir do momento da sua
classificação.
Prioridade Média: são aqueles que interrompem as operações essenciais da contratante,
mas possuem solução de contorno. Prevê a estabilização do incidente em até 12 (doze)
horas úteis a partir do momento da sua classificação.
Prioridade Baixa: são incidentes que não interrompem as operações essenciais da
contratante. Prevê a estabilização do incidente em até 24 (vinte e quatro) horas úteis a
partir do momento da sua classificação.
5. Classificação por tipos de suporte
5.1 Suporte para o serviço de preparação de dados:
A contratada terá 01 (uma) hora para classificação do incidente e reagirá de acordo com a
seguinte classificação:
5.1.1 Prioridade Alta:
Não funcionamento geral da aplicação;
Falha de comunicação com o serviço principal e o de contingência;
Arquivo de saída não processável pelo bureau de serviços;
Quebra no software durante o processamento do arquivo de embossing;
Erros na configuração padrão do ambiente que impeçam o
processamento de mais de 50% dos arquivos de embossing;
Falha que impeça a geração de arquivo de saída mesmo em caso de
sucesso no processamento.
5.1.2 Prioridade Média:
Falha de comunicação com o hardware criptográfico principal;
Lentidão no processamento dos arquivos de embossing;
Falha na interpretação das configurações pré-estabelecidas da
nomenclatura dos arquivos de embossing em ambiente de produção;
Falha no processamento do qualquer parte do arquivo de embossing
(Cabeçalho, Registro, Final) gerado de forma errada pelo software da
CLIENTE;
Falha na geração do arquivo de log.
5.1.3 Prioridade Baixa:
Consultas técnicas;
Pedido de documentação;
Erros ortográficos nas mensagens de erro;
Warnings apontados no arquivo de log.
5.2 Serviços de suporte para o uso da aplicação de autoridade certificadora:
A contratada terá 01 (uma) hora para classificação do incidente e reagirá de acordo com a
seguinte classificação:
5.2.1 Prioridade Alta:
Falha no acesso à aplicação;
Falha na geração de Chave Raiz;
Falha na geração de Certificados do Emissor;
Dados públicos da Chave Raiz gerados de forma incorreta;
Certificados do emissor gerados de forma incorreta.
5.2.2 Prioridade Média:
Queda na aplicação responsável pelo processamento de requisições;
Falha na recuperação dos dados públicos da chave raiz;
Falha na recuperação dos dados do certificado do emissor;
Falha na configuração dos atores do sistema.
5.2.3 Prioridade Baixa:
Consultas técnicas;
Pedido de documentação;
Erros ortográficos na interface;
Falha no monitoramento automático dos recursos (HSM, Banco de dados
e Processador de Requisições);
Erros de comportamento da interface;
Falhas encontradas na trilha de auditoria.
5.3 Serviços de suporte para o uso da aplicação do cartão
A contratada terá 01 (uma) hora para classificação do incidente e reagirá de acordo com a
seguinte classificação:
5.3.1 Prioridade Alta:
Não funcionamento do cartão da contratante em terminais EMV com certificação
EMV nível 2 comprovada pelo órgão EMVCo.
5.3.2 Prioridade Média:
Não aceitação do cartão da contratante em novos terminais com certificação EMV
nível 2 fora do território nacional.
5.3.3 Prioridade Baixa:
Consultas técnicas;
Pedido de documentação.
5.4 Suporte para uso do serviço de autorização de transações EMV
A contratada terá 30 (trinta) minutos para classificação do incidente e reagirá de acordo
com a seguinte classificação:
5.4.1 Prioridade Alta:
Não funcionamento geral da aplicação;
Falha de comunicação com o serviço principal e o de contingência;
Interrupção contínua de autorizações por mais de 15 (quinze) minutos.
5.4.2 Prioridade Média:
Falha de comunicação com o serviço principal;
Lentidão no processamento das autorizações das transações.
5.4.3 Prioridade Baixa:
Consultas técnicas;
Pedido de documentação;
Erros ortográficos nas mensagens de erro;
Warnings apontados no arquivo de log.
Obs: A contratante será notificada com pelo menos 24 (vinte e quatro) horas de
antecedência sobre atualizações de rotina que sejam realizadas fora da Janela de
Atualização de Rotina.
6. Exceções
Os seguintes itens não devem ser considerados em nenhum cálculo de disponibilidade sob
este ANS:
(i) circunstâncias além do controle razoável da contratada, incluindo, sem limitação, atos
de qualquer órgão governamental, guerra, insurreição, sabotagem, embargo, incêndio,
inundação, greve ou outros distúrbios trabalhistas, interrupção ou atraso de transporte,
indisponibilidade ou interrupção ou atraso nas telecomunicações ou serviços de
terceiros, falha de software de terceiro ou incapacidade de obter matéria prima,
suprimentos ou energia usados ou equipamentos necessários para os serviços;
(ii) impossibilidade de acesso aos serviços, salvo se tal falha for causada somente pela
contratada;
(iii) atualizações de rotina, demais manutenções programadas e manutenções de
emergência e atualizações;
(iv) ocorrências sobre domínio fora do controle direto da contratada;
(v) atos ou omissões da contratante, do usuário ou de outros, contratados ou autorizados
pela contratante, incluindo, sem limitação, qualquer negligência, dolo ou uso do serviço
de forma inadequada (conforme determinado pela contratada) ou de outra forma em
violação do presente contrato.