Unidade Demandante 

NESC/STI

E-mail

carlos.zottmann@tse.jus.br

Responsável pela Demanda  

Carlos Eduardo Miranda Zottmann

1 - Indicar a necessidade da contratação, considerando o problema a ser resolvido sob perspectiva do interesse público (art. 18, §1º, da Lei nº 14.133/2021).
 

A contratação é necessária para dotar o TSE de capacidade de análise de segurança de aplicações, englobando a segurança dos códigos-fonte elaborados pelas equipes do TSE, a segurança das bibliotecas de terceiros utilizadas em nossos projetos de software, e a segurança das aplicações do TSE já em efetiva execução. Por meio dessas análises, poderemos conhecer vulnerabilidades existentes em nossas próprias aplicações, corrigi-las, e, assim, incrementar o nível de segurança cibernética de nosso ambiente de Tecnologia da Informação.

1.1 - Indicar os riscos caso a demanda não seja atendida tempestivamente. Avalie e descreva os riscos existentes caso o Tribunal não faça a contratação de forma tempestiva - quais sistemas, serviços, atividades ou projetos podem ser impactados, e como?
 

O Tribunal atualmente possui contratada a funcionalidade de análise de segurança de código-fonte (no inglês, SAST - Static Application Security Testing), por meio dos contratos 28/2022 (que adquiriu inicialmente licenças para testes de segurança sobre 111 projetos de software) e 116/2022 (que adquiriu licenças para outros 89 projetos, alcançando um total de 200 projetos licenciados).

As licenças do primeiro contrato vencem em maio de 2022 (que incluem a console central de gerência da solução) e as do segundo contrato em 116/2022. A partir do vencimento do primeiro contrato, a solução permanece em funcionamento, porém perdemos os direitos de atualização de versões e o suporte técnico por parte do fabricante, com impacto moderado, pois, mesmo sem as atualizações de versões, o produto continua sendo capaz de analisar a segurança de códigos-fonte e encontrar vulnerabilidades, de acordo com as regras de detecção de vulnerabilidades existentes no produto até a data de expiração do contrato.

Com relação à análise de segurança de bibliotecas de terceiros (no inglês, SCA - Software Composition Analysis), o TSE atualmente faz uso de produtos disponibilizados como software livre (a saber, os softwares Dependency Check e DTrack), que disponibilizam funcionalidades limitadas de análise de segurança de código-fonte e gestão das vulnerabilidades detectadas. O não atendimento tempestivo da demanda impedirá o acesso do TSE a funcionalidades mais completas e ricas do que as funcionalidades dessas soluções, limitando assim o alcance das análises de segurança de bibliotecas de terceiros.

Com relação à análise das aplicações já em efetiva execução (no inglês, DAST - Dynamic Application Security Testing), o TSE conta atualmente com a solução Tenable One, que possui uma funcionalidade limitada de teste dinâmico de aplicações, em seu módulo Tenable Web Application Scanning. O não atendimento tempestivo da demanda impedirá o acesso do TSE a funcionalidades DAST mais completas e ricas, limitando assim o alcance das análises dinâmicas de segurança de aplicações.

2 - Indicar se a demanda está prevista no Plano de Contratações Anual (PCA):
 

Não 

    X

Sim

 Código da demanda no PCA: STI_13

2.1 - Em caso negativo:

                    2.1.1 - Justificar a necessidade de inclusão da demanda no PCA
 

                    2.1.2 - Indicar a vinculação da demanda ao Planejamento Estratégico: Informe qual é a relação da demanda/necessidade com o(s) objetivo(s) estratégico(s) do Tribunal.
 

                    
                    2.1.3 – Explicitar a motivação e o demonstrativo de resultado a ser alcançado: Informe qual a motivação e descreva os resultados a serem alcançados com a contratação.
 

                    2.1.4 - Indicar a prioridade da demanda (alta, média ou baixa)
 

3 - Indicar a data em que deve ser iniciada a prestação dos serviços ou realizada a entrega do material
 

 Idealmente até 24/05/2025. Entretanto, caso essa data não seja cumprida as ações compensatórias já estão descritas no item 1.1.

                   
                     3.1 - Já foi feita contratação similar no Tribunal (vigente ou encerrada)?
 

4 - Informar o valor estimado da contratação, apresentando justificativa caso seja divergente do valor indicado no PCA (o qual reflete o valor constante na proposta orçamentária).
  

R$ 2.089.000,00 (valor atribuído a partir da ARP TRE-SP nº 21/2024, a partir da qual esta aquisição seria originalmente realizada, que, entretanto, não se concretizou, conforme Despacho 3114867).

 
5 - Equipe de Planejamento da Contratação - a quem compete elaborar o Estudo Técnico Preliminar (ETP). Pode ser dispensada, nos termos do art. 8º, §4º, da IN TSE nº 11/2021, porém deve ser feita a indicação de servidor ou servidora para elaborar o ETP.
 

                    5.1 - A Equipe de Planejamento da Contratação pode ser dispensada, nos termos do art. 8º, §4º, da IN TSE nº 11/2021?
 

Obs: As justificativas apresentadas serão avaliadas pela autoridade indicada no art. 8º, §4º da IN TSE nº 11/2021 e podem ou não ser acatadas, motivo pelo qual as indicações solicitadas no item 5.2 são obrigatórias.

                    5.2 – Indicar servidores para compor a Equipe de Planejamento da Contratação

                    As pessoas indicadas para compor a Equipe de Planejamento devem desempenhar atividades objetivando a elaboração do Estudo Técnico Preliminar, observadas as disposições contidas nos arts. 9º e 10 da IN/TSE nº 11/2021, incluindo a identificação de riscos, devendo, ainda, apoiar a Unidade Demandante na elaboração do Termo de Referência (TR) ou do Projeto Básico (PB).

IMPORTANTE: Todas as pessoas indicadas para compor a Equipe de Planejamento da Contratação devem preencher declaração de ciência de suas atribuições, conforme modelo "Declaração de Ciência - Eq. de Planejamento".

5.2.1 - Integrante(s) Demandante(s): a quem compete detalhar as necessidades a serem atendidas com a contratação.

 

5.2.2 - Integrante(s) Técnico(s): a quem compete detalhar os aspectos técnicos e de uso das soluções identificadas.
 

                    5.2.2.1 - A unidade demandante detém conhecimento técnico para detalhamento das soluções?

6 - Estudo Técnico Preliminar: a elaboração do Estudo Técnico Preliminar pode ser dispensada, nos termos do art. 10, §16, da IN TSE nº 11/2021?
 

Obs: As justificativas apresentadas serão avaliadas pela autoridade indicada no art. 10, §16 da IN TSE nº 11/2021 e podem ou não ser acatadas.

7 - Análise de Riscos: a análise de riscos pode ser dispensada, nos termos do art. 18, X, c/c art. 18, §2º, da Lei nº 14.133/2021? - Não se aplica a contratos de tecnologia da informação, conforme art. 10 da Resolução CNJ nº 468/2022.
 

Obs: As justificativas apresentadas serão avaliadas pela autoridade indicada no art. 10, §16 da IN TSE nº 11/2021 e podem ou não ser acatadas.

8 – Indicar servidores para atuar na fiscalização técnica e administrativa do ajuste
 

As pessoas indicadas para atuar na fiscalização técnica e administrativa devem participar de todas as discussões para elaboração dos Estudos Técnicos Preliminares e acompanhar o processo de contratação, observadas as diretrizes estabelecidas no art. 8º, §§ 8º, 9º e 10, da IN/TSE nº 11/2021.
 

IMPORTANTE: Todas as pessoas indicadas para atuar na fiscalização técnica e administrativa do ajuste devem preencher declaração de ciência de suas atribuições, conforme modelo "Declaração de Ciência - Fiscais".
 

8.1 - Fiscalização Técnica (as atribuições da fiscalização técnica estão descritas nos arts. 28, I e 29 da IN TSE nº 11/2021).
 

8.2 - Fiscalização Administrativa (as atribuições da fiscalização administrativa estão descritas nos arts. 25, 28, II e 29 da IN TSE nº 11/2021).

Caso a complexidade da contratação exija que a fiscalização administrativa seja exercida pela unidade competente da Secretaria de Administração, deixar os campos em branco, para manifestação da Coordenadoria de Fiscalização Administrativa (Cofad/SAD).

9. Encaminhamentos

Inicialmente, DECLARO que avaliei as situações relacionadas nos arts. 8º, §1º e 22, todos da IN/TSE nº 11/2021, razão pela qual promovi as indicações dos(as) servidores(as) para atuar isoladamente ou como membro de eventual Equipe de Planejamento da Contratação e como fiscal técnico, administrativo e substituto.
 

10.1 - Aos servidores e às servidoras indicados(as) nos itens 5.2.1 e 5.2.2, para assinatura de declaração de ciência de suas atribuições, conforme modelo "Declaração de Ciência - Eq. de Planejamento";

10.2 - À(s) unidade(s) orgânica(s) indicada(s) no item 5.2.2, para indicação de Integrante(s) Técnico(s), quando for o caso, devendo utilizar, para tanto, o modelo de documento "DOD - Indicação de Integrante Técnico";

10.3 - Aos servidores e às servidoras indicados(as) no item 8, para assinatura de declaração de ciência de suas atribuições, conforme modelo "Declaração de Ciência - Fiscais";

10.4 - À Secretaria de Administração (SAD), para análise e prosseguimento.

 

Nome e Assinatura do titular de Secretaria ou Assessoria

NESC/STI