CAPÍTULO 1. NECESSIDADE/DEMANDA A SER ATENDIDA

1.1 Indicação da necessidade

Assegurar que as aplicações desenvolvidas pelo TSE sejam avaliadas quanto à sua segurança, incluindo seus códigos-fonte, bibliotecas de terceiros e a segurança em seus ambientes de execução, a fim de garantir a segurança cibernética do ambiente de Tecnologia da Informação da Justiça Eleitoral.

1.2 Descrição da necessidade

a) Detalhamento da necessidade

a.1) Situações/problemas/dificuldades enfrentadas

O Secretaria de Tecnologia da Informação do TSE é responsável pelo desenvolvimento de sistemas de informação e aplicativos para dispositivos móveis para atender às suas demandas por informatização administrativa, judiciária e eleitoral, contando com equipes de profissionais especializados no tema, e dispondo de Norma de Desenvolvimento Seguro de Sistemas, instituída pela Portaria nº 263/2024.

Entretanto, ainda que sejam seguidas boas práticas de desenvolvimento seguro, desde a fase inicial do projeto de sistemas até a fase final de codificação e consequente disponibilização do produto ao seu público-alvo, é comum que esses sistemas e aplicativos (assim como todo e qualquer tipo de software, desenvolvido inclusive por empresas especializadas no desenvolvimento de software) contenham vulnerabilidades em sua implementação, que, por sua vez, podem ser exploradas por atacantes para a execução de atividades maliciosas contra o ambiente de tecnologia da informação da organização.

Em função dessa possibilidade, uma das boas práticas associadas ao desenvolvimento seguro de software é a realização de testes de segurança sobre as aplicações desenvolvidas pela própria equipe, voltados à avaliação de potenciais construções inseguras no código-fonte das aplicações (no inglês, SAST - Static Application Security Testing), à avaliação dos componentes de terceiros utilizados nos projetos de software, que podem, eles próprios, conterem vulnerabilidades significativas (no inglês, SCA - Software Composition Analysis), além de testes de segurança que avaliem o sistema ou aplicativo quando efetivamente estiverem em execução (no inglês, DAST - Dynamic Application Security Testing).

Esses testes são importantes porque viabilizam que a própria equipe responsável pelo desenvolvimento dos softwares detecte eventuais falhas de segurança antes da disponibilização do produto em produção, como também detecte falhas no produto já disponibilizado, caso não tenham sido detectadas anteriormente. Destacamos ainda que as funcionalidades de SAST, SCA e DAST estão previstas na Arquitetura de Cibersegurança da Justiça Eleitoral (3168249), sob os códigos ID_F43, ID_F45 e ID_F44, respectivamente.

Reconhecendo a importância desses testes, a própria Norma de Desenvolvimento Seguro de Sistemas, instituída por meio da Portaria TSE nº 263/2024, prevê a realização desses tipos de teste, em seus artigos n. 21 e 22, que demandam a utilização de ferramentas especializadas para suas execuções, demandas essas que a presente contratação visa suprir.

Para viabilizar a execução desses tipos de testes, o TSE atualmente possui contratada a funcionalidade de análise de segurança de código-fonte por meio dos contratos 28/2022 (que adquiriu inicialmente licenças para testes de segurança sobre 111 projetos de software) e 116/2022 (que adquiriu licenças para outros 89 projetos, alcançando um total de 200 projetos licenciados).

As licenças do primeiro contrato têm data de vencimento em maio de 2025 (que incluem a console central de gerência da solução) e as do segundo contrato vencem em novembro de 2025. A partir do vencimento do primeiro contrato, a solução permanece em funcionamento, porém perdemos os direitos de atualização de versões e o suporte técnico por parte do fabricante, com impacto moderado, pois, mesmo sem as atualizações de versões, o produto continua sendo capaz de analisar a segurança de códigos-fonte e encontrar vulnerabilidades, de acordo com as regras de detecção de vulnerabilidades existentes no produto até a data de expiração do contrato.

Com relação à análise de segurança de bibliotecas de terceiros, o TSE atualmente faz uso de produtos disponibilizados como software livre (a saber, os softwares Dependency Check e DTrack), que disponibilizam funcionalidades limitadas de análise de segurança de código-fonte e gestão das vulnerabilidades detectadas.

Com relação à análise das aplicações já em efetiva execução, o TSE conta atualmente com a solução Tenable One, adquirida por meio do Contrato TSE nº 44/2024, que possui uma funcionalidade limitada de teste dinâmico de aplicações, em seu módulo Tenable Web Application Scanning.

A partir da utilização dessas ferramentas, a STI executa os testes de segurança de aplicações de forma integrada à sua esteira de integração e de implantação contínuas (ambiente de CI/CD), que é o ambiente automatizado por meio do qual os códigos-fonte das aplicações do TSE são analisados quanto à qualidade e segurança, compilados e implantados em ambiente de produção.

Este conjunto das ferramentas de testes de segurança de aplicações atualmente utilizado pelo tribunal apresenta como principais limitações o fato de não formarem uma solução integrada, e o fato de que as soluções de SCA e DAST não apresentem o maior nível de qualidade, pois são, respectivamente, uma solução de código aberto (gratuita) e um componente de uma solução de gestão de vulnerabilidades não especializada em segurança de aplicações.

Essas limitações trazem como riscos uma maior dificuldade na visualização consolidada dos eventuais problemas detectados por cada um dos diferentes tipos de teste, e a possível ausência de funcionalidades específicas relacionadas à gestão da segurança de aplicações.

a.2) Contexto externo

Não há legislação no momento atual que exija a realização dos testes mencionados no tópico anterior. Entretanto, essa atividade é recomendada pelos principais conjuntos de boas práticas relativas a desenvolvimento seguro e à cadeia de suprimentos de software, a saber:

• Norma ISO 27.034 - Information Technology - Security Techniques - Application Security;
• NIST Secure Software Development Framework (NIST SSDF);
• OWASP Software Assurance Maturity Model (OWASP SAMM);
• Building Security in Maturity Model (BSIMM);
• Norma ISO 27.036 - Cybersecurity - Supplier Relationships;
• OWASP Secure Component Verification Standard (SCVS);
• CNCF Software Supply Chain Best Practices;
• CIS Software Supply Chain Security Guide;
• ESF Securing the Software Supply Chain;
• Secure Supply Chain Consumption Framework (S2C2F);
• Secure Level Software Artifacts (SLSA).

a.3) Processos anteriores no TSE para atendimento da necessidade

A necessidade foi parcialmente atendida anteriormente, no tocante à análise de segurança dos códigos-fonte elaborados pelas equipes do TSE (equivalente aos testes do tipo SAST), por meio do processo SEI n. 2022.00.000002640-4, que deu origem aos contratos TSE n. 28/2022 e 116/2022.

Com relação à avaliação de segurança de componentes de terceiros, o TSE atualmente utiliza duas soluções de código aberto (gratuitas), que são os produtos Depedency Check e Dependency Track, ambos produzidos e disponibilizados pela OWASP.

Com relação aos testes dinâmicos de segurança de aplicações (DAST), o TSE recentemente contratou a solução Tenable One, por meio do Contrato 44/2024, formalizado por meio do SEI nº 2023.00.000007252-5, voltado à realização de análises de vulnerabilidades em ativos de tecnologia da informação. Entretanto, ainda que o objetivo não tenha sido este, o produto dispõe também de um módulo que implementa funções de DAST, o Tenable Web Appliction Scanner.

b) Público alvo a ser atendido

O público alvo a ser atendido é composto pelas equipes de desenvolvimento de sistemas da STI, que contarão com apontamentos de segurança a respeito dos sistemas desenvolvidos pelo tribunal a partir de análises de segurança automatizadas, pelas equipes de segurança cibernética, Coordenadores e Secretário de TI, que contarão com informações consolidadas para a gestão dos níveis de segurança desses sistemas.

c) Impactos sobre as atividades do TSE e/ou sobre o público alvo a ser atendido, caso a necessidade apontada não seja sanada

Caso a necessidade de avaliação da segurança das aplicações do TSE não seja atendida, as modificações nas aplicações existentes e as novas aplicações serão ativadas em ambiente de produção sem que seja possível conhecer seu efetivo nível de segurança, possibilitando assim que vulnerabilidades significativas sejam expostas, facilitando, em última instância, o sucesso de eventuais ataques cibernéticos ao tribunal.

d) Objetivo(s) estratégico(s) do TSE com os quais necessidade está alinhada, assim como, caso convier, demonstrar a aderência com o Plano Diretor de Informática

A contratação pretendida está alinhada ao Planejamento Estratégico Institucional 2021-2026, contribuindo para o alcance do objetivo "Aperfeiçoar a Segurança da Informação".

Está alinhada também ao PDTIC, atendendo ao Objetivo de primeiro nível "O2 - Ampliar a contribuição da STI para o alcance dos objetivos da Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e da Estratégia Nacional de Cibersegurança da Justiça Eleitoral".

e) Critérios de sustentabilidade para avaliação da necessidade

Trata-se da contratação de licenciamento de software, para utilização sobre a infraestrutura de TI já existente no tribunal, não sendo necessária ou aplicável a reutilização de bens ou redimensionamento de serviços já existentes. Não há leis ou normativos que estabeleçam regras específicas de sustentabilidade relacionadas a necessidade e escolha da solução.

CAPÍTULO 2. DIFERENTES SOLUÇÕES DE MERCADO QUE POSSAM ATENDER À NECESSIDADE

2.1 - 1ª Solução

a) Descrição sucinta da solução:

Renovação dos direitos de atualização de versões e suporte técnico básico pelo fabricante da solução de análise estática de código (SAST) já adquirida pelo tribunal.

b) Indicação resumida dos serviços e materiais que compõem a solução com as respectivas quantidades

Nesse cenário seria realizada apenas a continuidade da solução existente, da seguinte forma:

• Contratação da renovação dos direitos de atualização de versões e suporte técnico básico pelo fabricante da solução de análise estática de código (SAST) já adquirida pelo tribunal por meio dos contratos TSE n. 28/2022 e 116/2022, e suporte técnico adicional por parte da eventual contratada, referentes ao licenciamento já contratado pelo tribunal, e aquisição de novas licenças para atender ao crescimento da quantidade de projetos que necessitam ser submetidos à análise SAST:
  • Licenciamento atualmente contratado: 200 projetos de software
  • Novas licenças a serem incluídas na nova contratação: 150 projetos de software
• Continuação da utilização das ferramentas de código aberto atualmente utilizadas pelo TSE para a análise de segurança dos componentes de terceiro, que são as ferramentas Dependency Check e Dependency Track;
• Utilização da funcionalidade Tenable Web Application Scan (Tenable WAS), que integra a ferramenta Tenable One, disponível ao TSE por meio do Contrato 44/2024.

c) Potenciais fornecedores e/ou fabricantes

A ferramenta adquirida pelo tribunal por meio dos contratos TSE n. 28/2022 e 116/2022 é o software Fortify, do fabricante MicroFocus, que foi incorporado pelo grupo Opentext. A ferramenta necessitaria da contratação dos direitos de atualização de versões e suporte técnico remoto por parte do fabricante, sendo a única a integrar a pretendida contratação.

A ferramenta possui uma extensa rede de fornecedores no Brasil, que pode ser verificada por meio da página de fornecedores do fabricante, disponível em https://microfocus.my.site.com/s/partner-locator?language=en_US. Para a obtenção da relação de fornecedores, o campo "Region" deve ser selecionado como "INTL", o campo "Country" como "Brazil" e o campo "Partner Type" como "Reseller". Na data de 28/07/2025 essa consulta apresenta uma relação com 13 (treze) empresas, cujos nomes são listados a seguir:

• KEEGGO TECHNOLOGY BRASIL S/A
• It2b Tecnologia E Servicos Ltda
• Pcs Ti - Projetos Consultoria E Servicos Em Ti Ltda
• Advanta Sistemas de Telecomunicações e Serviços de Informática Ltda
• Viw Tecnologia E Segurança Ltda
• Xmart Solutions Seguranca Digital Ltda
• Kalendae Solucoes Em Gestao Ltda
• Evernow Consultoria Em Informatica Ltda
• Delfia S.A
• Facilmova Tecnologia Da Informacao LTDA
• F MERCER DE LIMA TECNOLOGIA E CONSULTORIA
• Fast Lane Servicos De Treinamento E Solucoes Tecnologicas Ltda
• SEMPRE SAFE LTDA.

d) Órgãos públicos e/ou entidades que tenham adotado solução similar e análise dos respectivos contratos

Não encontramos contratações similares no portal PNCP - Portal Nacional de Contratações Públicas, e nem em contatos diretos que realizamos com os demais tribunais superiores, especialmente considerando-se a composição desta primeira solução, que conta com a renovação da ferramenta de SAST já adquirida, a utilização da ferramenta de SCA baseada em código aberto (gratuita), e a ferramenta de DAST como parte de uma terceira solução não diretamente voltada à segurança de aplicações. Faz-se importante registrar que mesmo soluções compostas apenas por ferramenta de SAST foram identificadas.

Entretanto, soluções que integrem módulos de SAST, SCA e DAST são utilizadas por outros órgãos públicos, em combinações de quantidades de módulos e de variedades de fabricantes distintas. Assim, trazemos aqui as contratações que foram identificadas, acompanhadas das observações pertinentes:

• Empresa Mato-Grossense de Tecnologia da Informação - Processo MTI-PRO-2024/52 (3313819)
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante
• Celepar - Edital de Licitação Eletrônica nº 12/2025 (3313823)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-ES - Contrato 17/2023 (3313824)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-SP - ARP nº 21/2024 (Processo 2024.00.000002761-4, documento 2802168)  
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante

Como se pode observar, há exemplos de órgãos públicos que contrataram apenas dois dos módulos em questão (SAST e SCA), e de órgãos que contrataram os três módulos de um mesmo fabricante, evidenciando que a opção se dá em função da necessidade específica ou do nível de maturidade em testes de segurança de aplicações de cada órgão. Não foram identificadas contratações que se utilizem de tecnologias distintas das especificadas neste ETP voltadas à avaliação de segurança de aplicações.

Com relação à identificação de metodologias, tecnologias ou inovações que possam atender às necessidades do tribunal, da análise das contratações identificadas observa-se que todas contemplam o licenciamento da ferramenta, serviços de instalação, repasse de conhecimento e suporte técnico por parte da licitante, configurando portanto o mesmo modelo adotado pelo TSE.  

e) Serviços e materiais complementares, não contemplados na solução, mas que devem ser objeto de contratação posterior

Não há serviços e materiais complementares necessários com relação à contratação pretendida.

f) Requisitos de tecnologia da informação presentes na solução

Conforme indicado no item 1.2 a.2 - contexto externo, não há políticas, modelos ou padrões de governo a serem observados na solução, mas sim conjuntos de boas práticas comumente aceito pelo mercado que devem ser implementadas por soluções deste tipo.

g) Custos estimados

Segundo informação prestada pela empresa contratada por meio dos Contratos TSE n. 28/2022 e 116/2022, recebida por mensagem de correio eletrônico (3262095), o fabricante da solução informou que a relação percentual entre valor de aquisição e o valor de suporte anual (que engloba direitos de atualização de versões e suporte técnico remoto pelo fabricante) equivale a 23%, o que coincide com o percentual aplicado pelas demais empresas fabricantes de software, conforme nosso conhecimento.

Considerando-se que os contratos foram firmados em 2022, com base nos valores pactuados na ARP TSE nº 3/2022, e que os preços de softwares fabricados por empresas estrangeiras são atrelados à cotação do dólar norte-americano, atualizamos os valores pactuados na ARP em questão para valores atuais, com base na cotação do dólar em 04/06/2025, conforme tabela abaixo:

• Contratação dos direitos de atualização e suporte para as licenças já contratadas pelo TSE

Aplicando-se o percentual de 23% sobre o valor de aquisição para cada ano de direitos de atualização e suporte, temos os seguintes valores:

Obs: Os valores pactuados nos contratos TRE-ES nº 17/2023 e MTI-PRO-2024/52 são referentes a licenciamento na modalidade de subscrição, e não de aquisição de licenças perpétuas, razão pela qual não podem ser levados em consideração para a determinação do valor de aquisição, e do consequente cálculo do valor anual de atualização e suporte remoto do fabricante.

• Aquisição de 150 novas licenças para atender ao crescimento da quantidade de projetos que necessitam ser submetidos à análise SAST

Os valores estimados para a aquisição de novas licenças são equivalentes aos valores atualizados para 200 aplicações na ARP TSE 3/2022, ajustadas para a quantidade de 150 aplicações adicionais

* Valor calculado a partir do valor para 200 aplicações (R$ 1.230.487,59) dividido por 200 aplicações

• Serviço de suporte técnico adicional local por parte da contratada

Com relação ao serviço de suporte técnico adicional local por parte da contratada, a única referência que encontramos foi o valor pactuado no contrato TRE-ES nº 17/2023, equivalente a R$ 897,22 por mês, o que resulta no valor total expresso na tabela a seguir:

Assim, temos o seguinte custo estimado para a contratação:

h) Vantagens e desvantagens

• Vantagens:
  • A continuidade da solução já utilizada pelo tribunal para os testes de SAST prescindiria de adaptações nas rotinas e procedimento já implementados para a execução desses testes, e da integração da ferramenta, incluindo o aproveitamento dos resultados por elas gerados, a outras ferramentas utilizadas pelo tribunal em seu ambiente de desenvolvimento de software. Dentre essas outras ferramentas podemos citar o ambiente de integração contínua, incluindo a solução responsável pela análise de qualidade dos softwares desenvolvidos pelo tribunal, que já implementam barreiras quanto à implantação em produção de softwares que não atinjam a qualidade mínima esperada, incluindo aspectos de segurança. Citamos ainda os painéis de controle (dashboards) já elaborados e implementados, que disponibilizam às equipes de desenvolvimento, de forma consolidada, os resultados dos testes obtidos, já segmentados de acordo com características dos sistemas do TSE quanto a fator de exposição e criticidade dos softwares;
  • A continuidade da utilização da solução de código aberto para as avaliações de segurança dos componentes de terceiros (ferramenta de SCA) também prescindiria de adaptações nas rotinas e procedimentos já implementados para o aproveitamento desses testes pelas demais ferramentas que compõem o ambiente de desenvolvimento. Adicionalmente, como é uma disciplina que se encontra em fase de implantação pelas equipes de desenvolvimento, permitiria a criação de cultura relativa a esse tipo de avaliação sem demandar custos adicionais referentes à aquisição de ferramenta comercial, ainda que essas tragam mais funcionalidades do que soluções de código aberto;
  • A utilização da ferramenta Tenable WAS, já adquirida, como ferramenta para a realização de testes do tipo DAST, embora seja uma ferramenta mais simples se comparada às ferramentas especializadas nesse tipo de teste, também permite a implantação da cultura de realização desse tipo de testes sem que seja necessário o dispêndio de recursos para a aquisição de uma ferramenta mais robusta;
  • A continuidade da utilização das ferramentas já disponíveis evitaria a necessidade de nova capacitação dos profissionais que as utilizam;
  • Por se tratar de contratação de uma única ferramenta, seu custo é inferior às demais opções.
• Desvantagens:
  • As ferramentas atualmente utilizadas pelo tribunal para a realização de testes do tipo SCA e DAST têm qualidade inferior às ferramentas comerciais especializadas nesses dois tipos de testes;
  • A utilização de ferramentas de diferentes fabricantes inviabiliza a aquisição de uma ferramenta que reúna em um mesmo painel de controle (dashboards) os resultados gerados por todas elas, exigindo a construção desses painéis pela equipe do TSE, ou o estabelecimento de procedimentos que consumam os resultados de cada ferramenta em painéis distintos.

2.2 - 2ª Solução

a) Descrição sucinta da solução:

Contratação de solução SAST com especificações abertas.

b) Indicação resumida dos serviços e materiais que compõem a solução com as respectivas quantidades

Nesse cenário seria licitada uma solução SAST com especificações abertas, de maneira que qualquer fabricante que disponibilize uma solução que atenda às especificações técnicas, possa se sagrar vencedora do certame:

• Licitação de solução SAST com especificações abertas;
• Continuação da utilização das ferramentas de código aberto atualmente utilizadas pelo TSE para a análise de segurança dos componentes de terceiro, que são as ferramentas Dependency Check e Dependency Track;
• Utilização da funcionalidade Tenable Web Application Scan (Tenable WAS), que integra a ferramenta Tenable One, disponível ao TSE por meio do Contrato 44/2024.

c) Potenciais fornecedores e/ou fabricantes

Há diversos fabricantes de soluções para a realização de testes dos tipos SAST, SCA e DAST, dentre as quais podemos mencionar as seguintes:

• Opentext (fabricante da solução adquirida pelo TSE);
• Sonatype;
• Checkmarks;
• Snyk;
• Revenera;
• Veracode;
• HCL Software.

d) Órgãos públicos e/ou entidades que tenham adotado solução similar e análise dos respectivos contratos

Não encontramos contratações similares no portal PNCP - Portal Nacional de Contratações Públicas, e nem em contatos diretos que realizamos com os demais tribunais superiores, especialmente considerando-se a composição desta segunda solução, que conta com a contratação de solução SAST com especificações abertas, a utilização da ferramenta de SCA baseada em código aberto (gratuita), e a ferramenta de DAST como parte de uma terceira solução não diretamente voltada à segurança de aplicações. Faz-se importante registrar que mesmo soluções compostas apenas por ferramenta de SAST foram identificadas.

Entretanto, soluções que integrem módulos de SAST, SCA e DAST são utilizadas por outros órgãos públicos, em combinações de quantidades de módulos e de variedades de fabricantes distintas. Assim, trazemos aqui as contratações que foram identificadas, acompanhadas das observações pertinentes:

• Empresa Mato-Grossense de Tecnologia da Informação - Processo MTI-PRO-2024/52 (3313819)
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante
• Celepar - Edital de Licitação Eletrônica nº 12/2025 (3313823)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-ES - Contrato 17/2023 (3313824)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-SP - ARP nº 21/2024 (Processo 2024.00.000002761-4, documento 2802168)
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante

Como se pode observar, há exemplos de órgãos públicos que contrataram apenas dois dos módulos em questão (SAST e SCA), e de órgãos que contrataram os três módulos de um mesmo fabricante, evidenciando que a opção se dá em função da necessidade específica ou do nível de maturidade em testes de segurança de aplicações de cada órgão. Não foram identificadas contratações que se utilizem de tecnologias distintas das especificadas neste ETP voltadas à avaliação de segurança de aplicações.

Com relação à identificação de metodologias, tecnologias ou inovações que possam atender às necessidades do tribunal, da análise das contratações identificadas observa-se que todas contemplam o licenciamento da ferramenta, serviços de instalação, repasse de conhecimento e suporte técnico por parte da licitante, configurando portanto o mesmo modelo adotado pelo TSE.

e) Serviços e materiais complementares, não contemplados na solução, mas que devem ser objeto de contratação posterior

Não há serviços e materiais complementares necessários com relação à contratação pretendida.

f) Requisitos de tecnologia da informação presentes na solução

Conforme indicado no item 1.2 a.2 - contexto externo, não há políticas, modelos ou padrões de governo a serem observados na solução, mas sim conjuntos de boas práticas comumente aceito pelo mercado que devem ser implementadas por soluções deste tipo.

g) Custos estimados

Considerando-se as limitações relativas às contratações identificadas junto a outros órgãos públicos, que se referem a licenciamento na modalidade de subscrição, e não de aquisição de licenças perpétuas, os custos estimados aqui apresentados são baseados na ARP TSE n. 3/2022, atualizados em função da variação do dólar norte-americano desde a data da formalização da ARP até a data de hoje (04/06/2025), partindo do entendimento que o custo de nova aquisição de solução de SAST tende a ser equivalente, em termos atualizados, a uma aquisição derivada de processo licitatório baseado em especificações técnicas abertas.

• Contratação de licenças de software SAST para 200 projetos de software

• Contratação de licenças de software SAST para 150 projetos de software adicionais

Os valores estimados para a aquisição de novas licenças são equivalentes aos valores atualizados para 200 aplicações na ARP TSE 3/2022, ajustadas para a quantidade de 150 aplicações adicionais

* Valor calculado a partir do valor para 200 aplicações (R$ 1.230.487,59) dividido por 200 aplicações

• Serviço de suporte técnico adicional local por parte da contratada

Com relação ao serviço de suporte técnico adicional local por parte da contratada, a única referência que encontramos foi o valor pactuado no contrato TRE-ES nº 17/2023, equivalente a R$ 897,22 por mês, o que resulta no valor total expresso na tabela a seguir:

Assim, temos o seguinte custo estimado para a contratação:

h) Vantagens e desvantagens

• Vantagens:
  • A licitação de uma solução de SAST com base em especificações abertas traz a possibilidade de maior competitividade com relação a preços.
  • A continuidade da utilização da solução de código aberto para as avaliações de segurança dos componentes de terceiros (ferramenta de SCA), de forma análoga à opção nº 1, também prescindiria de adaptações nas rotinas e procedimentos já implementados para o aproveitamento desses testes pelas demais ferramentas que compõem o ambiente de desenvolvimento. Adicionalmente, como é uma disciplina que se encontra em fase de implantação pelas equipes de desenvolvimento, permitiria a criação de cultura relativa a esse tipo de avaliação sem demandar custos adicionais referentes à aquisição de ferramenta comercial, ainda que essas tragam mais funcionalidades do que soluções de código aberto;
  • A utilização da ferramenta Tenable WAS, já adquirida, como ferramenta para a realização de testes do tipo DAST, embora seja uma ferramenta mais simples se comparada às ferramentas especializadas nesse tipo de teste, também permite a implantação da cultura de realização desse tipo de testes sem que seja necessário o dispêndio de recursos para a aquisição de uma ferramenta mais robusta;
  • A continuidade da utilização das ferramentas de SCA e DAST já disponíveis evitaria a necessidade de nova capacitação dos profissionais que as utilizam;
  • Por se tratar de contratação de uma única ferramenta, seu custo é inferior à opção nº 3.
• Desvantagens:
  • Embora a possiblidade de que diferentes fabricantes forneçam uma solução com especificações abertas, deve-se considerar que o TSE adquiriu licenças perpétuas de sua solução de SAST, sendo necessária apenas a renovação de seus direito de atualização de versões e suporte técnico remoto por parte do fabricante. Assim, essa maior competitividade talvez não se traduza em custos inferiores, uma vez que no caso de aquisição de soluções de fabricantes distintos daquele que nos forneceu a solução atual teria associado também o custo das licenças, e não apenas dos direitos de atualização e suporte;
  • A possível aquisição de uma ferramenta de fabricante distinto daquele que produz a ferramenta já utilizada pelo TSE irá requerer adaptações ou reconstruções dos procedimentos de integração com outras soluções utilizadas no ambiente de desenvolvimento, já desenvolvidos pela equipe do TSE;
  • As equipes de desenvolvimento do TSE teriam que ser novamente capacitadas para a utilização de eventual ferramenta distinta da atualmente utilizada;
  • A ferramenta já adquirida e utilizada pelo TSE (Opentext Fortify) é uma das principais ferramentas disponíveis no mercado no tocante à sua qualidade funcional. De acordo com o documento elaborado pela empresa de consultoria Gartner (Magic Quadrant for Application Security Testing - doc. 3262100) é a segunda melhor ferramenta do mercado, considerando-se as características de completude da visão da ferramenta (equivalente, a grosso modo, à quantidade de funcionalidades disponíveis) e de habilidade para executar (equivalente, também a grosso modo, à qualidade de funcionalidades disponíveis). Assim, uma licitação para aquisição de nova ferramenta SAST traria o risco considerável de aquisição de uma ferramenta de qualidade inferior à da ferramenta já adquirida pelo tribunal;
  • As ferramentas atualmente utilizadas pelo tribunal para a realização de testes do tipo SCA e DAST têm qualidade inferior às ferramentas comerciais especializadas nesses dois tipos de testes;
  • A utilização de ferramentas de diferentes fabricantes inviabiliza a aquisição de uma ferramenta que reúna em um mesmo painel de controle (dashboards) os resultados gerados por todas elas, exigindo a construção desses painéis pela equipe do TSE, ou o estabelecimento de procedimentos que consumam os resultados de cada ferramenta em painéis distintos;

2.3 - 3ª Solução

a) Descrição sucinta da solução

Contratação de solução integrada completa.

b) Indicação resumida dos serviços e materiais que compõem a solução com as respectivas quantidades

Neste cenário seria realizada a contratação de uma solução integrada, englobando os módulos de SAST, SCA e DAST de um mesmo fabricante, além de um módulo central de gestão que implemente um painel unificado sobre os achados desses três tipos de testes, conhecido no mercado como ASPM - Application Security Posture Management.

c) Potenciais fornecedores e/ou fabricantes

Há diversos fabricantes de soluções para a realização de testes dos tipos SAST, SCA e DAST, dentre as quais podemos mencionar as seguintes:

• Opentext (fabricante da solução adquirida pelo TSE);
• Sonatype;
• Checkmarks;
• Snyk;
• Revenera;
• Veracode;
• HCL Software.

d) Órgãos públicos e/ou entidades que tenham adotado solução similar e análise dos respectivos contratos

Soluções que integrem módulos de SAST, SCA e DAST são utilizadas por outros órgãos públicos, em combinações de quantidades de módulos e de variedades de fabricantes distintas. Assim, trazemos aqui as contratações que foram identificadas, acompanhadas das observações pertinentes:

• Empresa Mato-Grossense de Tecnologia da Informação - Processo MTI-PRO-2024/52 (3313819)
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante
• Celepar - Edital de Licitação Eletrônica nº 12/2025 (3313823)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-ES - Contrato 17/2023 (3313824)
  • Inclui módulos de SAST e SCA de um mesmo fabricante
• TRE-SP - ARP nº 21/2024 (Processo 2024.00.000002761-4, documento 2802168)
  • Inclui módulos de SAST, SCA e DAST de um mesmo fabricante

Como se pode observar, há exemplos de órgãos públicos que contrataram apenas dois dos módulos em questão (SAST e SCA), e de órgãos que contrataram os três módulos de um mesmo fabricante, evidenciando que a opção se dá em função da necessidade específica ou do nível de maturidade em testes de segurança de aplicações de cada órgão.

Da análise das contratações identificadas observa-se que todas contemplam o licenciamento da ferramenta, serviços de instalação, repasse de conhecimento e suporte técnico por parte da licitante, configurando o mesmo modelo adotado pelo TSE.

e) Serviços e materiais complementares, não contemplados na solução, mas que devem ser objeto de contratação posterior

Não há serviços e materiais complementares necessários com relação à contratação pretendida.

f) Requisitos de tecnologia da informação presentes na solução

Conforme indicado no item 1.2 a.2 - contexto externo, não há políticas, modelos ou padrões de governo a serem observados na solução, mas sim conjuntos de boas práticas comumente aceito pelo mercado que devem ser implementadas por soluções deste tipo.

g) Custos estimados para fins de análise comparativa

O valor da solução sob a ARP TRE-SP nº 21/2024, para 200 desenvolvedores (modo de licenciamento adotado pela ARP) ao TSE, é de R$ 2.089.000,00, e já incluem os serviços de suporte técnico local adicional por parte da Contratada.

Adotando-se, para fins estimativos, que o valor por desenvolvedor é equivalente ao valor por projeto, teríamos, para 150 projetos adicionais, o custo de R$ 1.566.750,00.

O custo estimado, portanto, seria de R$ 3.655.750,00

Obs: A premissa de que o custo por desenvolvedor (adotado na ARP do TRE/SP) é equivalente ao custo por projeto (adotado nos Contratos TSE 28 e 116/2022) necessitaria ser confirmada. O valor efetivo pode ser um pouco inferior ou superior. Entretanto, para fins estimativos, e considerando-se que o custo aqui estimado se refere à aquisição de três funcionalidades (SAST, SCA e DAST), e que as duas outras opções tratam apenas da aquisição da funcionalidade de SAST, entendemos que essa premissa é aceitável.

h) Vantagens e desvantagens

•  Vantagens:
  • A utilização de ferramentas de SAST, SCA e DAST disponibilizadas por um mesmo fabricante traz uma maior padronização de funcionamento, especialmente no tocante à exibição de resultados, possibilitando a utilização de uma console integrada de gerência de todas as soluções (módulo ASPM), e minimizando a curva de aprendizagem da equipe técnica no tocante à utilização dessas ferramentas;
  • Ferramentas comerciais, voltadas especificamente às funcionalidades a que se propõem (no caso, SAST, SCA e DAST),  possuem maior qualidade técnica do que soluções baseadas em código aberto ou mesmo soluções comerciais mais generalistas, configurando vantagem técnica sobre a 1ª solução.
• Desvantagens:
  • O custo de aquisição de uma solução integrada é superior ao custo de aquisição de uma solução que atenda somente a uma das funcionalidades, no caso concreto, a funcionalidade SAST;
  • A aquisição de uma solução integrada requer adaptações ou reconstruções dos procedimentos de integração entre soluções de diferentes fabricantes, já desenvolvidos pela equipe do TSE

2.4 Resumo comparativo das soluções

CAPÍTULO 3. A SOLUÇÃO ESCOLHIDA

3.1. Os motivos ou as justificativas técnicas e econômicas para a escolha da solução, destacando o que a faz mais vantajosa entre todas as soluções identificadas

A opção percebida como mais vantajosa pela Equipe de Planejamento da Contratação é a Solução nº 1 - Renovação dos direitos de atualização de versões e suporte técnico básico pelo fabricante da solução de análise estática de código (SAST) já adquirida pelo tribunal.

É mais vantajosa do que a segunda solução por apresentar custos menores, além de evitar a necessidade adaptações ou reconstruções dos procedimentos de integração com outras soluções utilizadas no ambiente de desenvolvimento, já desenvolvidos pela equipe do TSE, bem como de nova capacitação de toda a equipe de desenvolvimento e de gestão de segurança cibernética, considerando-se ainda que a solução adquirida pelo TSE encontra-se dentre as líderes do setor em termos de qualidade, conforme descrito nas vantagens e desvantagens da opção nº 1.

É mais vantajosa do que a terceira opção, no momento, considerando-se que a utilização de testes do tipo SCA e DAST ainda encontram-se em fase inicial por parte das equipes do TSE, e que as soluções disponíveis no momento atendem bem a essa etapa inicial, permitindo a criação e estabelecimento de uma cultura interna de realização desse tipo de testes. Em um momento posterior, quando o nível de maturidade das equipes com relação a esses tipos de testes já estiver em nível elevado, e se justificar a necessidade de utilização de funcionalidades mais avançadas do que as disponíveis nas ferramentas que temos atualmente, esse posicionamento poderá ser revisto. 

Adicionalmente, a opção nº 1 é a que possui menor custo dentre as três opções identificadas.

3.2 Detalhamento da solução

a) Características básicas do serviço e/ou do material a ser contratado

Contratação dos direitos de atualização de versões do software Opentext Microfocus Fortify Static Code Analyzer, acompanhadas pelo suporte técnico remoto padrão fornecido pelo fabricante, com base nas licenças perpétuas já adquiridas pelo TSE por meio dos contratos nº 28/2022 e 116/2022, além de suporte técnico adicional local por parte da contratada.

Adicionalmente, previsão de contratação de 150 licenças adicionais, para fazer frente às necessidades futuras que venham a surgir durante o período de vigência da Ata de Registro de Preços.

b) Quantidades e as respectivas unidades de medida/fornecimento, com as devidas justificativas, acompanhadas das memórias de cálculo e dos documentos que lhe dão suporte

O TSE hoje possui um acervo de projetos de software de 632 sistemas ou aplicações cadastrados no inventário de software Hórus.

Todos os projetos em estado de desenvolvimento ativo idealmente devem ser submetidos a testes estáticos de código SAST. O licenciamento atual, equivalente a 200 projetos de software, tem se mostrado suficiente para dar vazão aos testes sobre os projetos que estejam em estado de desenvolvimento ativo.

Entretanto, propõe-se o registro de 150 licenças adicionais, para que possamos ampliar a cobertura da solução caso uma quantidade maior de projetos venha a entrar no conjunto de projetos em estado de desenvolvimento ativo, conforme memória de cálculo disponível nos documentos E-mail - Sinaps - Dimensionamento SAST (3313286) e Anexo - Dimensionamento SAST - Memória de cálculo (3313287).

c) Garantia Técnica/Assistência Técnica/ Suporte Técnico

Há previsão de serviços de suporte técnico durante todo o período da vigência contratual, serviços esses compatíveis com o mercado fornecedor.

d) Normas Legais exclusivas

Não há normas legais, regulamentares e convencionais, exclusivas da solução e com as quais deve estar em conformidade.

e) Normas Técnicas aplicáveis

Não se aplica.

f) Experiência profissional e formação da equipe técnica de execução do contrato

Os profissionais da equipe que será responsável pelo suporte técnico local, prestado pela empresa contratada, deverá possuir certificação oficial do fabricante atestando que têm conhecimento da solução e que são aptos a prestar suporte técnico.

g) Transição contratual

Não será necessário que a contratada promova a transição contratual quando do encerramento do futuro ajuste.

h) Transferência de conhecimento

Não será necessário que a contratada promova a transferência de conhecimentos de tecnologias e de técnicas referentes à execução contratual, uma vez que a solução já é utilizada pelas equipes de desenvolvimento do TSE.

i) Treinamento

A solução escolhida não exige a capacitação dos servidores, uma vez que a solução já é utilizada pelas equipes de desenvolvimento do TSE. 

j) Deslocamentos e Reembolso de Diárias e Passagens

Não há previsão de serviço eventual a ser prestado em local distinto da prestação de serviço ordinária. 

3.3. Outros aspectos relacionados à execução contratual

a) vigência da ata de registro de preços, vigência contratual e prazo de execução

a.1) vigência da ata de registro de preços (ARP).

Nos termos da Lei n° 14.133/2021, a ARP terá a vigência de 1 (um) ano, prorrogável por igual período, de forma a suprir eventuais necessidades de ampliação da quantidade de projetos de software aptos a utilizarem a solução.

a.2) vigência contratual

O contrato deverá ter a vigência de 37 meses, de forma a acomodar o período necessário para a entrega das licenças de software e seu cadastramento na console da solução (já instalada no TSE), e os 36 meses de suporte adicional local a serem prestados pela contratada, período equivalente ao prazo de vigência dos direitos de atualização e suporte remoto padrão pelo fabricante. 

a.3) prazo de execução do serviço.

As licenças referentes aos direitos de atualização de versões e de suporte remoto pelo fabricante deverão ser entregues em 30 dias corridos, a contar da vigência do contrato. Os serviços de suporte técnico adicional local por parte da contratada terão início após a emissão do Termo de Recebimento Definitivo relativo às licenças, e deverão ser prestados por 36 meses.

b) Ordem de Serviço Inicial

Não há necessidade de emissão de ordem de serviço inicial. A execução contratual deverá iniciar-se tão logo o contrato seja publicado.

c) Impactos ambientais

Não há impactos ambientais previstos, uma vez que trata-se da contratação de software que será executado sobre o ambiente de TI já disponível no tribunal.

3.4 Serviços e/ou materiais complementares não contemplados na solução escolhida

a) Contratação adicional

Não é necessária nenhuma contratação adicional.

b) Ajustes em outras contratações existentes

Não são necessários ajustes em contratações vigentes.

c) Requisitos de TI

Conforme indicado no item 1.2 a.2 - contexto externo, não há políticas, modelos ou padrões de governo a serem observados na solução, mas sim conjuntos de boas práticas comumente aceito pelo mercado que devem ser implementadas por soluções deste tipo.

d) Adequação das Instalações e Infraestrutura do TSE

Não é necessário realizar adequações nas instalações do TSE.

CAPÍTULO 4. ANÁLISE DO PROCESSO DE CONTRATAÇÃO ANTERIOR

4.1 Procedimento SEI, Contrato ou Nota de Empenho

•  A contratação anterior ocorreu por meio do processo SEI n. 2018.00.000014614-9;  
• Licitação TSE nº 58/2021;
• A licitação gerou a ARP TSE n. 3/2022, que, por meio do processo 2022.00.000002640-4, deu origem aos contratos TSE n. 28/2022 e 116/2022.

4.2 Fase Interna da Licitação (exigências e sugestões exaradas pelas unidades técnicas da SAD e Assessoria Jurídica)

As seguintes recomendações e sugestões foram exaradas pelas unidades técnicas da SAD e Assessoria Jurídica durante a fase interna da licitação que deu origem aos contratos anteriores, e atendidas nas formas indicadas abaixo:

• Despacho SEARE n. 1024575:​​​​​​, referente ao ETP​
  • Item “a” – A aquisição efetivamente deve ser realizada sob o Sistema de Registro de Preços. A menção a “viabilizar a aquisição lotes distintos de licenças” no item 4 do ETP tinha a intenção de ser referir a contratações parceladas ao longo da vigência da eventual Ata de Registro de Preços, ao invés de lotes distintos no processo de licitação. A versão atualizada do ETP (1029026) foi alterada para refletir este entendimento.
  • Item “c” – O documento de Estudos Técnicos Preliminares foi ajustado, sendo substituídas todas as referências à aquisição por textos que se referem à subscrição ou à contratação, de forma a melhor preservar o sentido de cada trecho.
• Informação SEARE n.123 (1130446) - referente ao TR
  • pequenas correções no Termo de Referência foram solicitadas, e efetivadas pela Equipe de Planejamento da Contratação no Termo de Ref. - Registro de Preço para Aquisição 1136181. 
• Despacho SECGA n. 1176827 - encaminhou sugestões formuladas por empresas por ocasião da pesquisa de preços
  • Pequenos ajustes no TR foram realizados a partir das sugestões recebidas, conforme Informação 9 (1191375).
• Despacho SEEDI n. 1513289 e Parecer ASJUR 721 (1506180), sobre a minuta de Edital
  • O questionamento de maior destaque foi o formulado pela ASJUR referente à justificativa para o agrupamento dos diversos itens em lote, que foi justificada pela Equipe de Planejamento da Contratação, a acatado pela administração. As demais recomendações eram mais simples e foram implementadas no Termo de Referência, conforme Despacho NESC n. 1518793.

Destacamos, entretanto, que a presente contratação difere da anterior no sentido de que, desta feita, será licitada a renovação dos direitos de atualização de versões e suporte técnico para a solução já adquirida pelo TSE por meio dos contratos anteriores (resultantes de uma especificação aberta). Portanto, diversas das recomendações exaradas durante o processo anterior não são aplicáveis ao processo atual.

4.3 Fase Externa da Licitação (questionamentos, pedidos de impugnação, diligências, inabilitações, recursos etc)

Durante a fase externa da licitação destacam-se os seguintes eventos:

• Suspensão da licitação, de acordo com o Despacho COAI n. 1552403;
  • Foi realizada alteração no Termo de Referência, a partir de questionamentos formalizados por licitantes, no sentido da retirada a necessidade da solução possuir um módulo de análise de bibliotecas de terceiros (funcionalidade de SCA);
• Parecer ASJUR 437 (1747624)
  • Aprovou as novas minutas dos documentos da licitação oriundas da alteração no Termo de Referência citada no tópico anterior, solicitando uma pequena modificação, que foi efetivada, conforme Despacho NESC n. 1766958.
• Foram formalizados alguns questionamentos por licitantes, incluindo três pedidos de impugnação (empresa PrimeUp - doc. 1785932, empresa Nova8 - doc. 1791169, empresa Nalba Technology - doc. 1791975), que, entretanto, foram negados sem a necessidade de alterações nos documentos licitatórios.
• Com relação à etapa de Prova de Conceito (PoC), duas empresas apresentaram recursos (empresa Nalba Technology, doc. 1881159, empresa PrimeUp - doc. 1882009), que também foram negados.

Destacamos, da mesma forma que no item anterior, que a presente contratação difere da anterior, de forma que os objetos de recursos e impugnações não são aplicáveis ao processo atual.

4.4 Execução Contratual (dificuldades e problemas identificados)

Os contratos TSE nº 28/2022 e 116/2022. foram firmados sem a contratação de suporte técnico adicional local por parte da contratada, o que dificultou a obtenção de apoio técnico para o esclarecimento de dúvidas a respeito da utilização da solução, suporte para ajustes de configuração e de desempenho, bem como para a migração de versões, visto que o suporte técnico remoto por parte do fabricante, associado por padrão à aquisição de licenças, é bastante limitado, e não inclui acesso presencial ou mesmo remoto ao ambiente de TI do contratante.

Em função disto, a presente contratação incluirá os serviços de suporte técnico adicional local por parte da contratada.

Não houve procedimentos de apuração e/ou aplicação de penalidades.

Foi formalizado um Termo de Rerratificação ao Contrato 28/2022 (2044130), para corrigir uma questão relativa à forma de licenciamento do software por parte do fabricante, e um Termo Aditivo ao mesmo contrato (2045439), prorrogando os prazos de execução dos  itens "Repasse de Conhecimento" e "Operação Assistida". Nenhuma das situações apresenta risco de ocorrer novamente, uma vez que o modelo de licenciamento já é conhecido, e será apenas renovado, e dúvidas em relação a esse modelo não darão causa a atrasos a outros itens a serem contratados.

Não houve Relatórios de Auditoria referentes aos dois contratos anteriormente firmados.

4.5 Diferenças em relação à última contratação (especificação e quantidades)

A última contratação foi uma licitação de ferramenta de SAST com especificações abertas, acompanhada do suporte técnico remoto por parte do fabricante, uma vez que ainda não dispunhamos de nenhuma solução adquirida. Nesta contratação o que se pretende é a aquisição dos direitos de atualização de versões para as licenças já adquiridas (e aquisição de novas licenças do mesmo produto), suporte técnico do fabricante e suporte técnico adicional local pela contratada.

Os motivos estão indicados nos itens 3.1 e 4.4 deste documento.

4.6 Necessidade de transição contratual

Não há a necessidade da atual contratada fazer a transição contratual para a futura.

CAPÍTULO 5. VALOR ESTIMADO DA CONTRATAÇÃO

O valor estimado da contratação é o valor estimado para a opção nº 1, abaixo transcrita:

Obs: A estimativa de contratação inicial sobre a ARP a ser formalizada é equivalente à totalidade do primeiro e do terceiro item. O segundo item será demandado à medida em que projetos de software adicionais aos 200 projetos atualmente licenciados necessitem ser submetidos a testes de segurança do tipo SAST.

As limitações encontradas com relação à identificação de contratações públicas estão descritas no item de estimativa de preços relativos à opção nº 1.

A solução cuja contratação se pretende não consta dos Catálogos de Soluções de TIC com condições Padronizadas - PMC - TIC (https://www.gov.br/governodigital/pt-br/contratacoes-de-tic/catalogos-de-solucoes-de-tic-com-condicoes-padronizadas-para-licenciamento-de-software)

CAPÍTULO 6. DIVISIBILIDADE DA SOLUÇÃO

A contratação se dará por grupo, de forma indivisível, uma vez que o grupo será composto pela aquisição de licenciamento de direitos de atualização de versões e suporte técnico remoto por parte do fabricante, de licenças adicionais para o mesmo produto, e de suporte técnico adicional local por parte da contratada.

A divisão é inviável pois a ferramenta de SAST deve ser única, pois ferramentas distintas levariam à duplicação de processos de trabalho, de capacitação da equipe, de ambientes internos dedicados às diferentes soluções, e inclusive a possíveis incoerências entre os resultados eventualmente obtidos. De maneira semelhante, o suporte técnico adicional local é diretamente ligado às licenças adquiridas, e as empresas prestadoras dos serviços de suporte usualmente são especializadas nas ferramentas do fabricante que representam.

No caso de frustração de um dos itens do grupo, corre-se o risco de adquirirmos as licenças de direitos de atualização de versões e suporte técnico, e não contarmos com a possibilidade de aquisição de licenças adicionais, ou com o suporte local adicional, trazendo risco para a operacionalização do software, ou o inverso, ou seja, contratarmos o suporte local adicional sem que tenhamos adquirido as licenças, o que traria perda de objeto para o serviço de suporte.

CAPÍTULO 7. ASPECTOS ADMINISTRATIVOS RELACIONADOS

7.1 Exigências para seleção do fornecedor

a) Justificativas para inexigibilidade ou dispensa, se for o caso

 Não é necessária a inexigibilidade ou dispensa de licitação.

b) Procedimentos auxiliares

Sistema de Registro de Preços, nos termos do art. 78 da Lei nº 14.133/2021.

c) Critério de julgamento das propostas

As propostas deverão ser julgadas de acordo com o menor preço, de acordo com o art. 33 da Lei 14.133/2021 (I - menor preço; II - maior desconto; III - melhor técnica ou conteúdo artístico; IV - técnica e preço; V - maior lance, no caso de leilão; VI - maior retorno econômico).

d) Exigências de qualificação técnica profissional

As licitantes devem apresentar Atestado de Capacidade Técnica comprovando já terem fornecido o software de Análise Estática de Código (SAST) do fabricante Opentext Fortify, bem como prestado serviços de suporte técnico ao software por um período mínimo de 6 (seis) meses, de forma satisfatória.

As exigências se justificam pela necessidade em garantir que a futura contratada já tenha efetivamente realizado os serviços demandados pelo TSE, com a qualidade esperada pelo(s) respectivo(s) contratos, o que seria comprovado pelo Atestado de Capacidade Técnica.

e) Apresentação de amostras na fase de licitação e/ou prova de conceito

Não é necessária a apresentação de amostras ou prova de conceito para aceitação de proposta de licitante.

f) Vistoria prévia no local de execução dos serviços

 Não se aplica.

7.2 Regras de participação no procedimento de contratação

a) Subcontratação 

b) Formação de Consórcio

Obs: Indicamos como possível a formação de consórcio em observância à Lei nº 14.133/2021, que estabelece que a participação de consórcio é regra. Entretanto, o objeto da licitação é simples, e não vislumbramos a necessidade da formação de consórcio por parte de eventuais licitantes para atendê-la.

c) Participação de cooperativas

Obs: Indicamos como possível a participação de cooperativas em observância ao art. 16 da Lei nº 14.133/2021. Entretanto, não vislumbramos a probabilidade efetiva de participação de cooperativas, visto que o fornecimento de softwares é sempre realizado por licitantes habilitados pelos respectivos fabricantes para sua comercialização, e desconhecemos cooperativas habilitadas para o fornecimento de qualquer software.

d) Participação de empresas estrangeiras

e) Participação de pessoa física

O valor estimado é superior a R$ 250.000,00 por ano, e a contratação exige que a licitante possua estrutura mínima que seja capaz de prestar os serviços de suporte técnico local.

7.3 Particularidades da contratação

a) Necessidade de assinatura de termos de ciência e confidencialidade

É necessário que a contratada assine termo de ciência e termo de confidencialidade, uma vez que, em função da necessidade de prestação de serviços de suporte técnico local, a contratada venha a ter conhecimento de vulnerabilidades eventualmente detectadas nos sistemas de informação e aplicativos desenvolvidos pelas equipes do TSE.

7.4 Regras para o Sistema de Registro de Preços (se for o caso)

A contratação utilizará o Sistema de Registro de Preços.

a) Aceitabilidade de Proposta em quantitativo inferior ao máximo previsto em edital

Propostas em quantitativo inferior ao máximo previsto no edital não devem ser aceitas, pois não atenderão às necessidades do tribunal. Ademais, o objeto da contratação pretendida não é sujeito a limitações de oferta, uma vez que é majoritariamente relacionado à emissão de licenças de uso de software (e não à fabricação de bens), software este que, inclusive, já se encontra instalado e em utilização no tribunal.

b) Preços diferentes para o mesmo item

Propostas com preços diferentes para o mesmo item não são aplicáveis ao objeto da contratação.

c) Registro de mais de um fornecedor ou prestador de serviço

Não há a necessidade do registro de mais de um fornecedor.

d) Possibilidade de adesão futura

Considerando-se que a contratação pretendida é referente ao licenciamento de direitos de atualização de versões e de suporte técnico pelo fabricante de software cujas licenças perpétuas já foram adquiridas pelo TSE, configurando, portanto, situação específica do tribunal, não se faz necessária a previsão de possibilidade de adesão futura.

CAPÍTULO 8. INFORMAÇÕES COMPLEMENTARES

8.1 Previsão no Plano de Contratações Anual (PCA)

Código da demanda no PCA: STI_13

8.2 Restrições de caráter técnico, operacional, regulamentar, financeiro e/ou orçamentário:

Não há restrições ainda não mencionadas no ETP.

8.3 Acessibilidade

Não há impactos da contratação em relação aos aspectos relacionados à acessibilidade para pessoas com deficiência ou com mobilidade reduzida.

8.4 Classificação Contábil (contratação de softwares)

1º) A contratação indica a aquisição (transferência de propriedade) do software?

2º) É possível estimar com certo grau de certeza o tempo (ou prazo) de utilidade desse software?

Não - Conforme indicado no item anterior, a contratação pretendida é referente a direitos de atualização de versões serão por 36 meses, que podem ser novamente contratados após este período, relativos a software cuja licença perpétua já foi adquirida pelo tribunal.

Solicita-se, entretanto, que estes entendimento seja ratificado ou retificado pela unidade competente.

8.5 Outras observações

Não há observações adicionais.

---

THIAGO MELO STUCKERT DO AMARAL Analista Judiciário(a)

Documento assinado eletronicamente em 04/08/2025, às 18:50, horário oficial de Brasília, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

---

CARLOS EDUARDO MIRANDA ZOTTMANN Chefe de Núcleo

Documento assinado eletronicamente em 04/08/2025, às 19:18, horário oficial de Brasília, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.

---

A autenticidade do documento pode ser conferida em https://sei.tse.jus.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0&cv=3313827&crc=6CE875D1, informando, caso não preenchido, o código verificador 3313827 e o código CRC 6CE875D1.

---