Timbre

Nota Técnica nº 127/2025/GEIT/STD

ASSUNTO

Contratação de solução de tecnologia da informação e comunicação para prestação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, pelo período de 24 (vinte e quatro) meses.

REFERÊNCIAS

Processo nº 00058.007264/2023-23

Pregão 90006/2025

Proposta Comercial - item 11 - ISH (11588100)

Anexo Habilitação item 11 - ISH (11588097)

Anexo Diligencias Item 11 - ISH (11588094)

Recurso Item 11 - recorrente Network (11588175)

Recurso Item 11 - recorrente Vortex (11588192)

Anexo Contrarazões ISH - Recurso Vortex (11606407)

Anexo Contrarazões ISH - Recurso Network (11606408)

SUMÁRIO EXECUTIVO

Trata a presente Nota Técnica de apresentar esclarecimentos da Superintendência de Tecnologia e Transformação Digital - STD quanto aos recursos apresentados pelas empresas NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA diante do resultado do item 11 do Pregão 90006/2025, o qual declarou a empresa ISH TECNOLOGIA S/A vencedora do item.

INFORMAÇÕES E ANÁLISE

Foram analisados e considerados os recursos apresentados, bem como os  argumentos da CONTRARRAZÃO fornecidos pela empresa ISH.

ANÁLISE 1 -  DO RECURSO APRESENTADO PELA EMPRESA NETWORK SECURE:

Em síntese, a recorrente alega que a empresa ISH Tecnologia S/A não cumpriu com os requisitos técnicos do item 8.4.13.1 do edital, que exige serviços de CTI com, no mínimo, 20 VIPs, 4 marcas distintas e atuação contínua por 12 meses, apresentando atestados genéricos e imprecisos que não comprovam de forma clara e objetiva o atendimento cumulativo às exigências."

ANÁLISE 1 -  DA  CONTRARRAZÃO APRESENTADA PELA EMPRESA ISH:

A ISH, por sua vez, apresentou declaração complementar do SEBRAE comprovando o monitoramento de 28 VIPs por 36 meses, atendendo ao requisito mínimo de 20 VIPs por 12 meses.

Além disso, a empresa listou seis organizações distintas (SEBRAE, CIELO, CNJ, USIMINAS, VERACEL, Seguradora Líder), demonstrando a execução de serviços para pelo menos 4 marcas diferentes, como exigido no item 8.4.13.1 do edital.

AVALIAÇÃO 1 -  DO RECURSO E DA CONTRARRAZÃO:

Inicialmente é importante destacar dois pontos presentes no Edital:

"7.15. Após a entrega dos documentos para habilitação, não será permitida a substituição ou a apresentação de novos documentos, salvo em sede de diligência, para (Lei 14.133/21, art. 64, e IN 73/2022, art. 39, §4º):"

7.15.1. complementação de informações acerca dos documentos já apresentados pelos licitantes e desde que necessária para apurar fatos existentes à época da abertura do certame;"

Dessa forma, entende-se aceitável a avaliação das informações complementares apresentadas pela ISH.

Em que pese as documentações presentes no arquivo Documentos de habilitacao_ANAC_90006.2025.pdf (páginas 179 a 191), a complementação trazida no documento Anexo "Contrarazões ISH - Recurso Network (11606408)" afasta eventuais dúvidas quanto à capacidade da empresa em atender aos requisitos presentes no Edital.

ANÁLISE 2 -  DO RECURSO APRESENTADO PELA EMPRESA VORTEX IT SECURITY:

A Vortex alega que a empresa ISH Tecnologia S/A não atendeu integralmente aos requisitos técnicos exigidos pelo edital, especificamente no que diz respeito à capacidade da solução ofertada.

O recurso citou os seguintes pontos como insuficientes, incompletos ou genéricos: 

Ausência de comprovação de coleta, análise e disponibilização de metadados (item 2.6.4);

Falta de tratamento e geração de logs de atividades (item 2.6.5);

Insuficiência de medidas contra phishing com base apenas na ferramenta Mantis Tracking (item 2.7.7);

Ausência de recurso de detecção automática de idioma (item 2.7.10.1);

Falta de monitoramento de fontes críticas como Google Play, TikTok, Telegram, Pastebin, entre outros (itens 2.7.11.2 a 2.7.11.4.1);

Ausência de comprovação de funcionalidades como takedown e rastreamento de vulnerabilidades de domínio (itens 2.7.11.6 e 2.7.11.10.4);

Falta de detalhes técnicos sobre a chamada “solução GV” (item 2.7.11.10.5);

Restrição do monitoramento apenas a sites falsos, sem abrangência a aplicativos falsificados (item 2.7.11.10.19).

ANÁLISE 2 - DA CONTRARRAZÃO APRESENTADA PELA EMPRESA ISH:

A ISH respondeu aos itens questionados pela VORTEX com explicações técnicas específicas, incluindo:

Item questionado pela VORTEX

Resposta da ISH

Ausência de comprovação de coleta, análise e disponibilização de metadados (item 2.6.4)

Descreveu que a plataforma Mantis possui um processo robusto e estruturado para coleta, análise, enriquecimento e disponibilização de metadados, essencial para a inteligência de ameaças. O fluxo envolve, entre outras etapas:

  • Coleta inicial de dados com captura de informações como IPs, domínios e e-mails;

  • Processamento e enriquecimento por meio de funcionalidades como transcrição de áudios, OCR em imagens, e análise contextual;

  • Classificação e aplicação de regras, gerando metadados sobre impacto, ameaças e recomendações;

  • Indexação e armazenamento final em banco de dados do cliente, permitindo consultas, correlações e análises detalhadas.

Esses metadados são utilizados em toda a cadeia de inteligência para monitoramento e resposta a incidentes.

Falta de tratamento e geração de logs de atividades (item 2.6.5)

Apresentou logs em JSON com informações de timestamp, usuário, empresa , ações executadas  e códigos de rastreamento (trace_id). Exemplificou com logs de tentativa de listar eventos, tentativa de pegar a timeline de um evento pelo id,  relatório criado e coletado na fila para ser gerado, baixando relatório da empresa e tentativa de Login: Token enviado. Demonstrou também a disponibilização dos logs via plataforma.

Insuficiência de medidas contra phishing com base apenas na ferramenta Mantis Tracking (item 2.7.7)

Detalhou o módulo Phish-Finder, com: algoritmos de Machine Learning, tendo como principais características: Análise de Conteúdo e Marca, Análise de Tamanho da URL, Verificação de Redirecionamentos, Avaliação do Domínio, Validação de SSL, .Formulários Suspeitos, Modelo de Similaridade, Detecção de Idioma
A empresa também explicou os mecanismos utilizados para que determinada URL seja classificada como phishing.

Ausência de recurso de detecção automática de idioma (item 2.7.10.1)

Citou a etapa LanguageAllowed no Phish-Finder e uso de Processamento de Linguagem Natural na classificação de dados e identificação de idioma.
Afirmou que a detecção automática de idioma não apenas está presente, como é uma capacidade integral da solução, permitindo o tratamento adequado de fontes em múltiplos idiomas e garantindo que a análise de ameaças seja realizada de forma contextualizada e precisa.

Ausência menção à plataforma Google Play na lista de fontes monitoradas (2.7.11.2)

Informou que a plataforma Mantis possui funcionalidade operacional para monitoramento ativo da Google Play Store e outras lojas de aplicativos, oficiais e não oficiais, como parte da estratégia de detecção de aplicativos falsos e ameaças móveis. Utiliza coletores especializados na varredura e análise de APKs, capazes de identificar aplicativos maliciosos ou que simulem marcas legítimas. Quando detectado, o sistema registra metadados, incluindo a URL da loja, permitindo rastreamento e documentação da ameaça.

Ausência de comprovação de fontes a serem monitoradas pela solução como Shodan, BinaryEdge, Zone-H, Bases de CVE, entre outras, bem como sites que compartilhem informações sobre TTPs utilizados para ataques como phishing, ransomware, entre outros. (2.7.11.3)

Informou que Mantis possui a capacidade de verificar sites, sistemas e fontes como os sugeridos no texto editalício, trazendo como exemplo evento com dados de Shodan e fontes CVE simultaneamente. 

Falta de monitoramento de fontes e plataformas (TikTok, WhatsApp, Telegram, Pastebin, Scribd, Reclame Aqui, 4Shared, Google Play e Feeds RSS.) (item 2.7.11.4)
Ausência de informações sobre a disponibilização de metadados relativos às fontes monitoradas (2.7.11.4.1)

Forneceu screenshots de monitoramento em Reclame aqui, WhatsApp, Telegram, Scribd, 4Shared, Google Play, Pastebin e Tiktok.

A ISH afirma que a plataforma Mantis possui um fluxo estruturado para coletar, enriquecer, indexar e armazenar metadados acionáveis, os quais ficam disponíveis no próprio sistema. Como comprovação, a empresa destaca screenshots fornecidas anteriormente, extraídas da interface da plataforma, que demonstram a coleta e apresentação desses metadados.

Ausência de comprovação de execução, eficácia, prazos (SLA) ou procedimentos adotados quanto à funcionalidade de takedown (2.7.11.6)

Sustentou que a contestação desconsidera o escopo do item 2.7.11.6, que exige apenas a oferta de serviço de monitoramento de domínios com alertas e acompanhamento de takedown. A empresa afirmou que sua proposta atende integralmente ao item, incluindo monitoramento de TLDs, detecção de uso indevido de marcas da ANAC, identificação de registrantes e emissão de alertas. Ressalta ainda que o edital não exige comprovação de eficácia, SLA ou documentação dos procedimentos, apenas a previsão do serviço, conforme apresentado.

Ausência de comprovação de funcionalidades previstas nos itens 2.7.11.7 e 2.7.11.8

Afirmou que o Mantis utiliza métodos de coleta adequados e autorizados para cada ambiente monitorado, garantindo conformidade e eficiência. Foram apresentados screenshots referentes ao Telegram w Whatsapp.
Além disso, é destacado que as evidências e capturas de tela da plataforma Mantis comprovam, de forma clara, sua capacidade técnica e operacional, reforçando que o monitoramento efetivo é central na solução ofertada e que as fontes monitoradas atendem ao escopo exigido.

Ausência de comprovação de monitoramento de vulnerabilidades em domínio (2.7.11.10.4)

Informou que o Phish-Finder, ferramenta mencionada no item 2.7.7, conta com funcionalidades voltadas à detecção proativa de vulnerabilidades em domínios suspeitos, contribuindo para a segurança preventiva. Entre as principais funcionalidades relatadas estão:

  • Validação de certificados SSL, identificando configurações inseguras ou inválidas;

  • Verificação de IP via integração com Shodan, detectando exposições e falhas técnicas;

  • Avaliação da idade do domínio, considerando domínios recém-criados como mais arriscados.

Essas verificações são aplicadas no processo de análise de URLs e domínios, gerando alertas de risco e possibilitando ações preventivas contra ameaças cibernéticas.

Falta de detalhes técnicos, arquitetura, funcionalidades ou forma de operação da solução GV (item 2.7.11.10.5)

Apresentou a resposta ao esclarecimento 28, relacionado ao referido item, em que a ANAC afirmou que tal funcionalidade será atendida no serviço de gestão de vulnerabilidades.

Restrição do monitoramento a sites falsos, sem abrangência a aplicativos falsificados (item 2.7.11.10.19)

Afirmou que a plataforma Mantis realiza monitoramento ativo da Google Play Store e de outras lojas oficiais e não oficiais como parte de sua estratégia de detecção de aplicativos falsos e ameaças móveis. A solução inclui coletores especializados em APKs, capazes de identificar apps maliciosos, e registra a URL do aplicativo como metadado, permitindo seu rastreamento e documentação.

AVALIAÇÃO 2 - DO RECURSO E DA CONTRARRAZÃO:

Após a análise do recurso interposto pela Vortex e das respectivas contrarrazões apresentadas, conclui-se que as evidências documentais e técnicas fornecidas foram suficientes para dirimir eventuais dúvidas levantadas pela licitante recorrente.

A documentação apresentada demonstrou que a solução ofertada atende às exigências estabelecidas no Termo de Referência, especialmente no que se refere às funcionalidades e aos requisitos técnicos demandados para a prestação do serviço.

CONCLUSÃO

As evidências e os esclarecimentos apresentados nesta Nota Técnica confirmam que todos os requisitos técnicos exigidos no Termo de Referência do Pregão Eletrônico nº 90006/2025, referentes ao item 11, foram atendidos.

Dessa forma, está confirmada a adequação da proposta apresentada pela empresa recorrida, evidenciando sua capacidade técnica e a conformidade da solução com os parâmetros estabelecidos no edital.

Recomenda-se, assim, a manutenção da aceitação da proposta comercial apresentada pela empresa ISH Tecnologia S/A.

Submete-se o presente parecer à Gerência Técnica de Licitações e Contratos – GTLC/SAF, para as providências cabíveis.

 

 

Brasília, na data da assinatura

 

 

Integrante Requisitante

Integrante Técnico

Felipe Santos Sarmanho

Reginaldo Lira de Araújo

 

logotipo

Documento assinado eletronicamente por Reginaldo Lira de Araujo, Analista Administrativo, em 02/06/2025, às 11:16, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

logotipo

Documento assinado eletronicamente por Felipe Santos Sarmanho, Gerente de Infraestrutura Tecnológica, em 02/06/2025, às 12:04, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

QRCode Assinatura

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 11599606 e o código CRC 5DCFEAF1.

Referência: Processo nº 00058.007264/2023-23 SEI nº 11599606