SEI/ANAC - 11615760

Manifestação da decisão do Pregoeiro em face de Recursos interpostos no certame.

Recorrentes: NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA.

Objeto: Licitação para a contratação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, conforme condições, quantidades e exigências estabelecidas no Edital e seus anexos.

Finalizadas as fases de julgamento e de habilitação, as empresas licitantes NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA doravante designadas recorrentes, manifestaram intenção de recorrer contra o resultado do Item 11 do Pregão Eletrônico nº 90006/2025.

Em conformidade com o item 8.2 do Edital, e observando o disposto no art. 165 da Lei nº 14.133, de 2021, no prazo concedido de três dias úteis, as licitantes recorrentes NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA apresentaram tempestivamente suas razões recursais.

Assim, conhece-se dos recursos, tendo em vista que foram impetrados em consonância com o Edital e a legislação correlata.

Em atenção ao §4º do art. 165 da Lei nº 14.133 de 2021, e conforme item 8.7 do Edital, foi possibilitado aos demais licitantes que apresentassem contrarrazões aos recursos interpostos. A licitante recorrida ISH TECNOLOGIA S/A apresentou, também tempestivamente, suas contrarrazões relativas a cada um dos recursos interpostos.

Ressalta-se que o processo de contratação é público e pode ser acessado por qualquer interessado através da pesquisa pública de processos e documentos do Protocolo Eletrônico (Sei!) da Anac no seguinte endereço eletrônico - https://www.gov.br/anac/pt-br/sistemas/protocolo-eletronico-sei/pesquisa-publica-de-processos-e-documentos.

Tendo em vista a possibilidade de acesso público ao processo de contratação, os documentos do processo sempre que citados serão referenciados por seu número no Sistema Eletrônico de Informações (Sei!) da Anac. Ademais, todos os documentos serão públicos, exceto aqueles que contenham informações pessoais de representantes das empresas participantes ou que se enquadrem em outras hipóteses legais para restrição de acesso.

A sessão pública foi aberta em 15/05/2025 e encerrada em 20/05/2025 para o Item 11, de acordo com as informações contidas no Termo de Julgamento e Habilitação - Item 11 (sei! 11619383). Verifica-se, também, que 18 (dezoito) empresas participaram da disputa para o Item 11 do Pregão, garantindo, assim, ampla competição no certame.

Conforme Termo de Julgamento e Habilitação - Item 11 (sei! 11619383), o item foi Aceito e Habilitado pelo pregoeiro para ISH TECNOLOGIA S/A, CNPJ 01.707.536/0001-04, com lance de R$ 16.583,0000 (unitário) / R$ 397.992,0000 (total).

A recorrente NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA apresentou intenção de recorrer no dia 20/05/2025 em relação à fase de julgamento. Já a recorrente VORTEX IT SECURITY LTDA manifestou intenção de recorrer também no dia 20/05 em relação às fases de julgamento e de habilitação.

Objetivando compor a parte expositiva inicial, transcreve-se, abaixo, de forma resumida, os principais trechos com as alegações das Recorrentes, registradas no Portal de Compras do Governo Federal – Compras.gov.br, para o Item 11, no sistema onde foi realizada a referida licitação:

A empresa Recorrente é participante do Pregão eletrônico n° 90006/2025, da Agência Nacional de Aviação Civil (ANAC), tendo se classificado junto ao ISH Tecnologia S/A, empresa que terminou por se consagrar vencedora do certame.

Ocorre que a classificação da proposta do ISH Tecnologia S/A foi equivocada, tendo em vista que está em desacordo com o exigido no Edital, pois a mesma não apresentou atestados de capacidade técnica que atendam as quantidades exigidas no item 8.4.13.1.

A presente licitação estabelece, por meio da cláusula 8.4.13.1 do Termo de Referência, a exigência de comprovação de capacidade técnica dos licitantes mediante apresentação de atestados de desempenho pretérito que demonstrem, de forma cumulativa, a execução de serviços de Inteligência de Ameaças Cibernéticas (Cyber Threat Intelligence - CTI), com experiência mínima comprovada envolvendo, no mínimo, 20 (vinte) VIPs (Very Important Persons) e 4 (quatro) marcas distintas, pelo período mínimo de 12 (doze) meses, em atividades específicas da referida natureza.

Entretanto, verifica-se que a empresa ISH Tecnologia S/A não apresentou documentação hábil a comprovar, de maneira clara, objetiva e inequívoca, o cumprimento integral dos requisitos exigidos no edital. Os documentos apresentados carecem de detalhamento técnico necessário para confirmar o atendimento às condições cumulativas previstas no instrumento convocatório.

II - Dos Fatos
A empresa Recorrente é participante do Pregão eletrônico nº 90006/2025, da Agência Nacional de Aviação Civil (ANAC), tendo se classificado junto ao ISH Tecnologia S/A, empresa que terminou por se consagrar vencedora do certame.
Ocorre que a classificação da proposta do ISH Tecnologia S/A foi equivocada, tendo em vista que está em desacordo com o exigido no Edital, pois a mesma não apresentou todos os itens do ponto a ponto que comprovam a capacidade da ferramenta.
III - Do Mérito

Sobre comprovação documental. Após a diligência realizada para comprovação dos três pontos que não foram identificados inicialmente pela ANAC nas comprovações documentais apresentadas pela ISH, verificamos que, mesmo diante dos esclarecimentos prestados, a documentação apresentada não supre integralmente os requisitos exigidos pelo edital. Além dos aspectos já mencionados, identificamos outros diversos pontos do edital que não foram devidamente respondidos pela documentação fornecida. Esses elementos são fundamentais para garantir a plena conformidade da proposta com as exigências estabelecidas, impactando diretamente na lisura e na transparência do processo de seleção. Diante disso, solicitamos a revisão detalhada dos documentos apresentados, com especial atenção às lacunas ainda existentes, a fim de assegurar que todas as condições editalícias sejam atendidas rigorosamente, garantindo equidade e justiça no certame. A critério de detalhamento, segue:

2.6.4 - A solução descrita não apresenta, nem menciona, mecanismos de coleta, análise e disponibilização de metadados conforme apresentado pelo próprio participante em ponto a ponto. Solicitamos esclarecimento quanto à previsão desse recurso ou justificativa técnica para sua ausência.

2.6.5 - Igualmente, não há qualquer menção à geração e tratamento de logs de atividade, o que impede a verificação de auditorias e ações realizadas. Solicitamos esclarecimento sobre como a solução garante rastreabilidade, em conformidade com boas práticas de segurança da informação.

2.7.7 - A simples utilização da ferramenta Mantis Tracking é insuficiente para mitigar completamente ataques de phishing. Solicitamos detalhamento sobre soluções complementares, integração com tecnologias avançadas de detecção e resposta a phishing, e evidências de eficácia da abordagem proposta.

2.7.10.1 - A proposta não menciona recurso de detecção automática de idioma, o que compromete a análise de fontes multilingues. Solicitamos esclarecimentos sobre a ausência dessa funcionalidade.

2.7.11.2 - Não há menção à plataforma Google Play, ausente da lista de fontes monitoradas. Considerando uma exigência do termo de referência. Solicitamos justificativa para a exclusão ou previsão de inclusão.

2.7.11.3 - As fontes expressamente solicitadas no Termo de Referência não são integralmente contempladas na documentação. Requeremos a apresentação de lista completa das fontes monitoradas e o cotejamento com as exigências editalícias.

2.7.11.4 - A proposta não menciona monitoramento de plataformas essenciais como TikTok, WhatsApp, Telegram, Pastebin, Scribd, Reclame Aqui, 4Shared, Google Play e Feeds RSS. Tais fontes são essenciais para a eficácia da inteligência de ameaças e incidentes. Solicitamos esclarecimento sobre essa lacuna e eventual inclusão futura.

2.7.11.4.1 - A documentação não traz informações sobre a disponibilização de metadados relativos às fontes monitoradas, o que compromete o cruzamento e a contextualização de dados. Solicitamos detalhamento sobre esse ponto.

2.7.11.6 - A proposta apenas menciona a funcionalidade de takedown, sem comprovar sua execução, eficácia, prazos (SLA) ou procedimentos adotados. Solicitamos documentação técnica comprobatória que ateste essa capacidade. Solicitamos detalhamento sobre esse ponto.

2.7.11.7 - O ponto não foi comprovado. Há apenas promessas genéricas de que haverá monitoramento de determinadas fontes, sem apresentação de evidências da capacidade técnica atual de fazê-lo. Requer-se demonstração objetiva e técnica da cobertura, bem como da relevância dessas fontes no contexto da solução.

2.7.11.8 - Situação idêntica ao item anterior: não houve comprovação do monitoramento efetivo. Solicita-se que seja apresentada documentação que ateste, de forma clara, que a solução possui capacidade ativa de monitorar as fontes citadas, com relevância justificada.

2.7.11.10.4 - Não houve comprovação de monitoramento de vulnerabilidades em domínio, o que é um requisito essencial para ações preventivas de segurança cibernética. Requer-se esclarecimento e comprovação técnica do atendimento a esse item.

2.7.11.10.5 - Há menção a uma “solução GV”, porém sem qualquer detalhamento técnico, arquitetura, funcionalidades ou forma de operação. Solicitamos esclarecimento sobre o que constitui essa solução, quais tecnologias compõem sua base e como se integra ao sistema proposto.

2.7.11.10.19 - O item trata de monitoramento de aplicativos falsos, contudo a proposta apresentada restringe-se a sites que simulam páginas oficiais, sem abranger clones de aplicativos. Solicitamos comprovação técnica específica sobre o monitoramento de APPs falsificados e seus vetores de distribuição."

Foi registrada também, tempestivamente, no Portal de Compras do Governo Federal – Compras.gov.br, e com a finalidade de impugnação dos recursos supracitados, as contrarrazões da empresa recorrida ISH TECNOLOGIA S/A nos termos apresentados de forma resumida abaixo, tendo essas contra-argumentações servido de subsídio para o julgamento dos recursos interpostos:

"Referente ao recurso apresentado: 1.4. Alega a Network Secure Segurança da Informação LTDA que os atestados de capacidade técnica apresentados pela ISH Tecnologia S/A, não atende aos requisitos do edital. www.ish.com.br

1.5. Quantitativo de VIPs (Very Important Persons) - A solução ofertada pela ISH - O DRPS Mantis do fabricante Safelabs, em seu pacote de licenciamento base permite ao cliente monitorar VIPs, sendo que em alguns casos é entregue capacidade adicional através de add-ons de licenciamento. Dentre os vários atestados apresentado pela empresa ISH, consta o atestado de capacidade referente ao serviço prestado a instituição SEBRAE - Serviço Brasileiro de Apoio às Micro e Pequenas Empresas através do contrato de n° CT.0220.18.

1.5.1. Para dirimir qualquer dúvida quanto a quantidade de VIPs monitorados no contrato do SEBRAE e também a duração do contrato, apresentamos "DECLARACÃO COMPLEMENTAR" assinada pelo cliente que comprova o monitoramento de 28 (vinte e oito) VIPs por um período de 36 (trinta e seis) meses. (Anexo no final desta CONTRARRAZÕES).

Ainda sobre a comprovação do período, o atestado de capacidade técnica referente ao serviço prestado para a USIMINAS - Usinas Siderúrgicas de Minas Gerais S/A, comprova a prestação de "Serviço de feed de inteligência - Cyber Threat Intelligence" com vigência de 36 meses.

O atestado de capacidade técnica do CNJ - Conselho Nacional de Justiça, comprova que a empresa ofertou e entregou o "Serviço de monitoramento e visibilidade de ataques cibernéticos" por um período de 24 meses

1.5.2. Outra alegação infundada realizada pela empresa Network Secure Segurança da Informação LTDA, refere-se a não comprovação por parte da ISH Tecnologia S/A referente a 4 (quatro) marcas distintas.

Vejamos, A ISH TECNOLOGIA S/A apresentou 6 (seis) atestados de capacidade técnica, emitidos por empresas e instituições distintas, que comprovam, de forma clara e objetiva, a execução dos serviços em contratos com marcas diferentes. Foram apresentados atestados das seguintes organizações:

SEBRAE;
CIELO;
Seguradora Líder do Consórcio do Seguro DPVAT S.A;
Conselho Nacional de Justiça - CNJ;
VERACEL - Celulose;
USIMINAS - Siderúrgicas de Minas Gerais S/A;
Ficando claro que a empresa Network Secure Segurança da Informação LTDA, realizou afirmações inverídicas sem analisar e verificar corretamente a documentação apresentada, pois cada atestado apresentado é referente a uma “marca” distinta, comprovando o pleno atendimento da ISH Tecnologia S/A aos requisitos do edital.."

Referente ao item 2.6.4: A VORTEX IT SECURITY LTDA alega: "A solução descrita não apresenta, nem menciona, mecanismos de coleta, análise e disponibilização de metadados conforme apresentado pelo próprio participante em ponto a ponto. Solicitamos esclarecimento quanto à previsão desse recurso ou justificativa técnica para sua ausência."

Resposta da ISH Tecnologia S/A: O Mantis possui um robusto e detalhado processo para a coleta, análise e disponibilização de metadados, fundamental para a eficácia da inteligência de ameaças.

Referente ao item 2.6.5: A VORTEX IT SECURITY LTDA alega: "Igualmente, não há qualquer menção à geração e tratamento de logs de atividade, o que impede a verificação de auditorias e ações realizadas. Solicitamos esclarecimento sobre como a solução garante rastreabilidade, em conformidade com boas práticas de segurança da informação."

Resposta da ISH Tecnologia S/A: O Mantis conta com uma arquitetura moderna baseada em microsserviços, e a auditoria é um componente fundamental em cada um deles. Cada microsserviço possui um mecanismo de auditoria dedicado. Este mecanismo é responsável por registrar todas as ações e execuções relevantes, incluindo interações de usuários, operações críticas do sistema e eventos de segurança. Dentre as principais informações armazenadas estão: data (timestamp), usuário, empresa e a ação executada.

Sendo assim, não resta dúvida que a solução ofertada atende aos requisitos da especificação técnica e foi cuidadosamente analisada pela ISH Tecnologia S/A, como prova desta afirmação, consta junto à proposta da ISH Tecnologia S/A, declaração assinada pelo fabricante Safelabs atestando o atendimento pleno aos itens da especificação técnica: (pág 15, documento - Proposta comercial_ANAC_PE0625.pdf)

Referente ao item 2.7.7 - Apresentar a descoberta de páginas web de "phishing", utilizando o nome dos recursos pesquisados, a marca, identidade visual, domínios e ativos de informação que serão protegidas: A VORTEX IT SECURITY LTDA alega: "A simples utilização da ferramenta Mantis Tracking é insuficiente para mitigar completamente ataques de phishing. Solicitamos detalhamento sobre soluções complementares, integração com tecnologias avançadas de detecção e resposta a phishing, e evidências de eficácia da abordagem proposta."

Resposta da ISH Tecnologia S/A: O Mantis possui a feature Phish-Finder como uma de suas funcionalidades principais. Trata-se de um módulo assíncrono e avançado, especialmente desenvolvido para detectar páginas de phishing de forma ágil e precisa. Integrado ao motor analítico do Mantis, o Phish-Finder realiza varreduras automáticas de URLs, aplica algoritmos de reputação e técnicas de machine learning, classificando rapidamente sites maliciosos antes que o usuário seja exposto.

Referente ao item 2.7.10.1: A VORTEX IT SECURITY LTDA alega: "A proposta não menciona recurso de detecção automática de idioma, o que compromete a análise de fontes multilíngues. Solicitamos esclarecimentos sobre a ausência dessa funcionalidade."

Resposta da ISH Tecnologia S/A: O Mantis faz a detecção automática de idioma. Esta funcionalidade é implementada em diferentes estágios e componentes de sua arquitetura, garantindo abrangência e eficiência:

Sendo assim, não resta dúvida mais uma vez que a solução ofertada atende aos requisitos da especificação técnica e foi cuidadosamente analisada pela ISH Tecnologia S/A, como prova desta afirmação, consta junto à proposta da ISH Tecnologia S/A, declaração assinada pelo fabricante Safelabs atestando o atendimento pleno aos itens da especificação técnica: (pág 15, documento - Proposta comercial_ANAC_PE0625.pdf)

Referente ao item 2.7.11.2 - Monitorar as lojas de aplicativos Apple Store e Google Play com o objetivo de detectar aplicativos maliciosos que estejam relacionados com a ANAC. É de responsabilidade da CONTRATADA providenciar a remoção de aplicações falsas e maliciosas através de parcerias com as lojas de aplicativos, quando solicitadas pela ANAC: A VORTEX IT SECURITY LTDA alega: "Não há menção à plataforma Google Play, ausente da lista de fontes monitoradas. Considerando uma exigência do termo de referência, solicitamos justificativa para a exclusão ou previsão de inclusão."

Resposta da ISH Tecnologia S/A: A solução do Mantis contempla o monitoramento ativo da Google Play Store, bem como de outras lojas de aplicativos oficiais e não oficiais, como parte integral da estratégia de detecção de aplicativos falsos e ameaças móveis. O Mantis possui coletores especializados na varredura e análise de APKs (Android Application Packages). Estes coletores são projetados para identificar aplicativos que se passam por marcas legítimas, distribuem malware ou violam políticas de segurança. A busca por esses aplicativos maliciosos inclui, explicitamente, a Google Play Store, além de repositórios alternativos e fontes não oficiais, garantindo uma cobertura abrangente. Quando um aplicativo suspeito é identificado, e sua origem é a Google Play Store (ou qualquer outra loja), a URL da listagem do aplicativo na respectiva loja é um dos metadados coletados e registrados. Isso permite o rastreamento e a documentação da ameaça. A capacidade de identificar e coletar metadados da Google Play é, portanto, uma funcionalidade existente e operacional na plataforma do Mantis.

Referente ao item 2.7.11.3 - Monitorar fontes de informações como Shodan, BinaryEdge, Zone-H, Bases de CVE, entre outras, bem como sites que compartilhem informações sobre TTPs utilizados para ataques como phishing, ransomware, entre outros: A VORTEX IT SECURITY LTDA alega: "As fontes expressamente solicitadas no Termo de Referência não são integralmente contempladas na documentação. Requeremos a apresentação de lista completa das fontes monitoradas e o cotejamento com as exigências editalícias."

Resposta da ISH Tecnologia S/A: O Mantis possui a capacidade de verificar sites, sistemas e fontes como os sugeridos no texto editalício. No evento abaixo, por exemplo, traremos dados de Shodan e fontes CVE simultaneamente. Data de verificação: 19 mai 2025, 01:22 Link de verificação: https://www.shodan.io/host/191.23 Conteúdo: Porta: 80 No vulnerabilities found Porta: 443 No vulnerabilities found 191.235 Norte Ports: 80 HTTP/1.1 404 Not Found Server: Microsoft: Azure Application-Gateway/v2 Data: Mon, 12 May 2025 18:06:11 GMT Content-Type: text/html Content-Length: 581 Connection

Referente ao item 2.7.11.4 - Monitorar ameaças cibernéticas de forma direta ou indireta contidas nas fontes em temas que possam ameaçar pessoas de interesse, ativos de informação e sistemas de TIC da ANAC, do ponto de vista da segurança cibernética. As fontes compreendem, mas não se limitam à: Twitter, Facebook, Youtube, Instagram, TikTok, LinkedIn, WhatsApp, Discord, Telegram, Pastebin, Ghostbin, Scribd, Reclame Aqui, Apple Store, 4Shared, Google Play, Vimeo e Github, Gitlab e feeds RSS: A VORTEX IT SECURITY LTDA alega: "A proposta não menciona monitoramento de plataformas essenciais como TikTok, WhatsApp, Telegram, Pastebin, Scribd, Reclame Aqui, 4Shared, Google Play e Feeds RSS. Tais fontes são essenciais para a eficácia da inteligência de ameaças e incidentes. Solicitamos esclarecimento sobre essa lacuna e eventual inclusão futura."

Resposta da ISH Tecnologia S/A: Para cada plataforma, o Mantis utiliza as técnicas mais adequadas e permitidas para a coleta de informações relevantes, garantindo a conformidade e a eficácia do monitoramento. É importante ressaltar que todas as screenshots e evidências de monitoramento dessas plataformas, que serão anexadas a esta contrarrazão, foram obtidas diretamente do datalake e infraestrutura de coleta do Mantis, sempre preservando o completo anonimato e a confidencialidade dos dados de diversos clientes que são usuários da plataforma.

Referente ao item 2.7.11.6 - Disponibilizar as informações das pesquisas por, no mínimo: intervalo de data, metadados e tipo da fonte: A VORTEX IT SECURITY LTDA alega: "A documentação não traz informações sobre a disponibilização de metadados relativos às fontes monitoradas, o que compromete o cruzamento e a contextualização de dados. Solicitamos detalhamento sobre esse ponto."

Resposta da ISH Tecnologia S/A: Conforme detalhado extensivamente na resposta ao item 2.6.4 - Mecanismos de coleta, análise e disponibilização de metadados, a plataforma do Mantis possui um fluxo bem definido para que todos os dados coletados sejam enriquecidos e transformados em metadados acionáveis. Este processo culmina com a indexação e armazenamento desses metadados no Sistema do Mantis. As screenshots fornecidas anteriormente, como parte da comprovação de coleta e monitoramento de diversas fontes (e em resposta a outros itens do recurso), são exemplos práticos dessa disponibilização. Elas foram extraídas diretamente da interface da plataforma do Mantis via consulta, demonstrando como os metadados são apresentados e acessíveis. Mais uma vez, afirmamos que a plataforma Mantis atende à especificação técnica.

Referente ao item 2.7.11.6 - Disponibilizar as informações das pesquisas por, no mínimo: intervalo de data, metadados e tipo da fonte: A VORTEX IT SECURITY LTDA alega: "A proposta apenas menciona a funcionalidade de takedown, sem comprovar sua execução, eficácia, prazos (SLA) ou procedimentos adotados. Solicitamos documentação técnica comprobatória que ateste essa capacidade. Solicitamos detalhamento sobre esse ponto."

Resposta da ISH Tecnologia S/A: A alegação apresentada pela VORTEX IT SECURITY LTDA desconsidera o escopo exato do item 2.7.11.6, que exige da CONTRATADA a provisão de um serviço de monitoramento de domínios, abrangendo TLDs, gTLDs e ccTLDs, com verificação do uso indevido de marcas da ANAC, identificação de registrantes e emissão de alertas com possibilidade de acompanhamento do processo de takedown. Cumpre esclarecer que a proposta técnica apresentada pela ISH atende integralmente aos requisitos descritos no item, pois contempla:

Referente ao item 2.7.11.7 - Monitorar ameaças, ataques e vulnerabilidades contidas em aplicativos de mensagens, como por exemplo WhatsApp e Telegram, em temas que possam ameaçar pessoas de interesse, ativos de informação e sistemas de TIC da ANAC, do ponto de vista da segurança cibernética: A VORTEX IT SECURITY LTDA alega: "O ponto não foi comprovado. Há apenas promessas genéricas de que haverá monitoramento de determinadas fontes, sem apresentação de evidências da capacidade técnica atual de fazê-lo. Requer-se demonstração objetiva e técnica da cobertura, bem como da relevância dessas fontes no contexto da solução."

Resposta da ISH Tecnologia S/A: Em cada ambiente monitorado, o Mantis adota os métodos de coleta de dados mais apropriados e autorizados, assegurando plena conformidade normativa e máxima eficiência no processo de monitoramento. É importante ressaltar que todas as screenshots e evidências de monitoramento dessas plataformas, que serão anexadas a esta contrarrazão, foram obtidas diretamente do datalake e infraestrutura de coleta do Mantis, sempre preservando o completo anonimato e a confidencialidade dos dados de diversos clientes que são usuários da plataforma.

Referente ao item 2.7.11.8 - Monitorar os itens especificados de 2.7.11.1 a 2.7.11.5 em relação às ameaças cibernéticas, proteção de marcas ou tentativas de fraudes envolvendo produtos ou serviços que constarão em listagem fornecida pela ANAC após a assinatura do contrato. Esta listagem pode ser alterada a qualquer tempo pela CONTRATANTE: A VORTEX IT SECURITY LTDA alega: "Situação idêntica ao item anterior: não houve comprovação do monitoramento efetivo. Solicita-se que seja apresentada documentação que ateste, de forma clara, que a solução possui capacidade ativa de monitorar as fontes citadas, com relevância justificada."

Resposta da ISH Tecnologia S/A: As evidências documentais e as capturas de tela da plataforma do Mantis, que demonstram dados reais que foram coletados e processados, atestam de forma clara a capacidade técnica, operacional e relevante para o escopo do serviço. Reafirmamos que o monitoramento efetivo é a base da plataforma do Mantis, e as comprovações já fornecidas sustentam essa afirmação, justificando a relevância e a cobertura das fontes monitoradas no contexto da solução ofertada.

Referente ao item 2.7.11.10.4 - Vulnerabilidades dos domínios monitorados que foram tornadas públicas, mesmo que essa exposição esteja disponível apenas na deep e dark web: A VORTEX IT SECURITY LTDA alega: "Não houve comprovação de monitoramento de vulnerabilidades em domínio, o que é um requisito essencial para ações preventivas de segurança cibernética. Requer-se esclarecimento e comprovação técnica do atendimento a esse item."

Resposta da ISH Tecnologia S/A: O Phish-Finder (mencionada no item 2.7.7) em sua arquitetura inclui módulos que realizam verificações essenciais de segurança e identificam vulnerabilidades associadas ao domínio, contribuindo para ações preventivas de segurança cibernética. Especificamente, os seguintes componentes e funcionalidades do Phish-Finder atendem a este requisito:

Referente ao item 2.7.11.10.5 - Novas vulnerabilidades que tenham sido recentemente divulgadas para as tecnologias descritas no Anexo II - Ambiente Tecnológico.

Conforme exposto anteriormente, é possível constatar que a empresa VORTEX IT SECURITY LTDA não se atentou adequadamente aos esclarecimentos já prestados pela ANAC, retornando de forma equivocada com questionamentos que já foram plenamente tratados e sanados pelo CONTRATANTE.

Referente ao item 2.7.11.10.19 - Aplicações (dispositivos móveis, softwares e aplicações web) falsas que utilizem o nome, a marca ou identidade visual dos ativos de informação monitorados.

Resposta da ISH Tecnologia S/A:
A solução Mantis contempla o monitoramento ativo da Google Play Store, bem como de outras lojas de aplicativos oficiais e não oficiais, como parte integral da estratégia de detecção de aplicativos falsos e ameaças móveis.

Sendo assim, não resta dúvida mais uma vez que a solução ofertada atende aos requisitos da especificação técnica e foi cuidadosamente analisada pela ISH Tecnologia S/A, como prova desta afirmação, consta junto a proposta da ISH Tecnologia S/A, declaração assinada pelo fabricante Safelabs atestando o atendimento pleno aos itens da especificação técnica:

O julgamento a seguir proferido foi pautado por criteriosa análise de todos os pontos suscitados pela Recorrente, consoante determinação do Tribunal de Contas da União (TCU), em especial, o contido no Acórdão nº 1.182/2004-Plenário, que determina a “emissão de análise circunstanciada de todos os itens dos recursos interpostos em procedimentos licitatórios, decidindo de forma expressa e fundamentada, consoante o art. 50, inciso V, da Lei 9.784/99”.

Ainda, por relevante, considerando que todo processo licitatório é público e transparente, foi facultado acesso irrestrito à documentação constante dos autos do Processo Administrativo nº 00058.007264/2023-23 a todos os interessados, possibilitando, em continuidade, o direito de interposição de recurso e apresentação do contraditório.

A contestação das Recorrentes recaem exclusivamente sobre aspectos técnicos da comprovação ponto a ponto sobre a capacidade da ferramenta a ser fornecida para os serviços contratados e sobre o atendimento das exigências habilitatórias de Qualificação Técnica dispostas no Termo de Referência (item 8.4.13.1.).

Considerando que os argumentos apresentados pelas recorrentes são eminentemente técnicos, impende destacar a seguir a análise elaborada pela equipe técnica da Superintendência de Tecnologia e Transformação Digital (STD) da Anac através da Nota Técnica nº 127/2025/GEIT/STD (sei! 11599606) para subsidiar o Pregoeiro na decisão do recurso:

Contratação de solução de tecnologia da informação e comunicação para prestação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, pelo período de 24 (vinte e quatro) meses.

Trata a presente Nota Técnica de apresentar esclarecimentos da Superintendência de Tecnologia e Transformação Digital - STD quanto aos recursos apresentados pelas empresas NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA diante do resultado do item 11 do Pregão 90006/2025, o qual declarou a empresa ISH TECNOLOGIA S/A vencedora do item.

Foram analisados e considerados os recursos apresentados, bem como os argumentos da CONTRARRAZÃO fornecidos pela empresa ISH.

Em síntese, a recorrente alega que a empresa ISH Tecnologia S/A não cumpriu com os requisitos técnicos do item 8.4.13.1 do edital, que exige serviços de CTI com, no mínimo, 20 VIPs, 4 marcas distintas e atuação contínua por 12 meses, apresentando atestados genéricos e imprecisos que não comprovam de forma clara e objetiva o atendimento cumulativo às exigências."

A ISH, por sua vez, apresentou declaração complementar do SEBRAE comprovando o monitoramento de 28 VIPs por 36 meses, atendendo ao requisito mínimo de 20 VIPs por 12 meses.

Além disso, a empresa listou seis organizações distintas (SEBRAE, CIELO, CNJ, USIMINAS, VERACEL, Seguradora Líder), demonstrando a execução de serviços para pelo menos 4 marcas diferentes, como exigido no item 8.4.13.1 do edital.

"7.15. Após a entrega dos documentos para habilitação, não será permitida a substituição ou a apresentação de novos documentos, salvo em sede de diligência, para (Lei 14.133/21, art. 64, e IN 73/2022, art. 39, §4º):"

7.15.1. complementação de informações acerca dos documentos já apresentados pelos licitantes e desde que necessária para apurar fatos existentes à época da abertura do certame;"

Dessa forma, entende-se aceitável a avaliação das informações complementares apresentadas pela ISH.

Em que pese as documentações presentes no arquivo Documentos de habilitacao_ANAC_90006.2025.pdf (páginas 179 a 191), a complementação trazida no documento Anexo "Contrarazões ISH - Recurso Network (11606408)" afasta eventuais dúvidas quanto à capacidade da empresa em atender aos requisitos presentes no Edital.

A Vortex alega que a empresa ISH Tecnologia S/A não atendeu integralmente aos requisitos técnicos exigidos pelo edital, especificamente no que diz respeito à capacidade da solução ofertada.

O recurso citou os seguintes pontos como insuficientes, incompletos ou genéricos:

Ausência de comprovação de coleta, análise e disponibilização de metadados (item 2.6.4);

Insuficiência de medidas contra phishing com base apenas na ferramenta Mantis Tracking (item 2.7.7);

Falta de monitoramento de fontes críticas como Google Play, TikTok, Telegram, Pastebin, entre outros (itens 2.7.11.2 a 2.7.11.4.1);

Ausência de comprovação de funcionalidades como takedown e rastreamento de vulnerabilidades de domínio (itens 2.7.11.6 e 2.7.11.10.4);

Falta de detalhes técnicos sobre a chamada “solução GV” (item 2.7.11.10.5);

Restrição do monitoramento apenas a sites falsos, sem abrangência a aplicativos falsificados (item 2.7.11.10.19).

A ISH respondeu aos itens questionados pela VORTEX com explicações técnicas específicas, incluindo:

Após a análise do recurso interposto pela Vortex e das respectivas contrarrazões apresentadas, conclui-se que as evidências documentais e técnicas fornecidas foram suficientes para dirimir eventuais dúvidas levantadas pela licitante recorrente.

A documentação apresentada demonstrou que a solução ofertada atende às exigências estabelecidas no Termo de Referência, especialmente no que se refere às funcionalidades e aos requisitos técnicos demandados para a prestação do serviço.

As evidências e os esclarecimentos apresentados nesta Nota Técnica confirmam que todos os requisitos técnicos exigidos no Termo de Referência do Pregão Eletrônico nº 90006/2025, referentes ao item 11, foram atendidos.

Dessa forma, está confirmada a adequação da proposta apresentada pela empresa recorrida, evidenciando sua capacidade técnica e a conformidade da solução com os parâmetros estabelecidos no edital.

Recomenda-se, assim, a manutenção da aceitação da proposta comercial apresentada pela empresa ISH Tecnologia S/A.

Submete-se o presente parecer à Gerência Técnica de Licitações e Contratos – GTLC/SAF, para as providências cabíveis."

Diante das considerações emitidas pela área técnica de tecnologia da informação da ANAC, que realizou a análise pontual de todos os itens suscitados nos recursos apresentados, considero que a proposta da recorrida ISH TECNOLOGIA S/A para o Grupo 1 atende integralmente as exigências do Edital e seus anexos, dessa forma, as contestações das recorrentes não serão aceitas.

Conforme asseverado pela área técnica, ressalta-se que todos os documentos apresentados pela recorrida nas contrarrazões são referentes a complementação de informações de documentos já apresentados durante as fases de julgamento e de habilitação e, portanto, conforme previsto no item 7.15.1 do Edital são documentos aceitos e foram considerados na análise recursal.

Diante de todo o exposto verifica-se que não houve transgressão aos princípios licitatórios, reputados válidos todos os procedimentos adotados na condução do certame.

Diante do exposto, conheço os recursos interpostos pelas empresas recorrentes NETWORK SECURE SEGURANÇA DA INFORMAÇÃO LTDA e VORTEX IT SECURITY LTDA. contra o resultado do Item 11 do certame, negando-lhes provimento.

Decido pela manutenção do resultado da licitação, com a aceitação da proposta e a habilitação da empresa ISH TECNOLOGIA S/A., que permanece como vencedora do Item 11 do Pregão 90006/2025.

Documento assinado eletronicamente por Bruno Silva Fiorillo, Pregoeiro(a), em 02/06/2025, às 16:43, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 11615760 e o código CRC 1931F478.

Item questionado pela VORTEX	Resposta da ISH
Ausência de comprovação de coleta, análise e disponibilização de metadados (item 2.6.4)	Descreveu que a plataforma Mantis possui um processo robusto e estruturado para coleta, análise, enriquecimento e disponibilização de metadados, essencial para a inteligência de ameaças. O fluxo envolve, entre outras etapas: Coleta inicial de dados com captura de informações como IPs, domínios e e-mails; Processamento e enriquecimento por meio de funcionalidades como transcrição de áudios, OCR em imagens, e análise contextual; Classificação e aplicação de regras, gerando metadados sobre impacto, ameaças e recomendações; Indexação e armazenamento final em banco de dados do cliente, permitindo consultas, correlações e análises detalhadas. Esses metadados são utilizados em toda a cadeia de inteligência para monitoramento e resposta a incidentes.
Falta de tratamento e geração de logs de atividades (item 2.6.5)	Apresentou logs em JSON com informações de timestamp, usuário, empresa , ações executadas e códigos de rastreamento (trace_id). Exemplificou com logs de tentativa de listar eventos, tentativa de pegar a timeline de um evento pelo id, relatório criado e coletado na fila para ser gerado, baixando relatório da empresa e tentativa de Login: Token enviado. Demonstrou também a disponibilização dos logs via plataforma.
Insuficiência de medidas contra phishing com base apenas na ferramenta Mantis Tracking (item 2.7.7)	Detalhou o módulo Phish-Finder, com: algoritmos de Machine Learning, tendo como principais características: Análise de Conteúdo e Marca, Análise de Tamanho da URL, Verificação de Redirecionamentos, Avaliação do Domínio, Validação de SSL, .Formulários Suspeitos, Modelo de Similaridade, Detecção de Idioma A empresa também explicou os mecanismos utilizados para que determinada URL seja classificada como phishing.
Ausência de recurso de detecção automática de idioma (item 2.7.10.1)	Citou a etapa LanguageAllowed no Phish-Finder e uso de Processamento de Linguagem Natural na classificação de dados e identificação de idioma. Afirmou que a detecção automática de idioma não apenas está presente, como é uma capacidade integral da solução, permitindo o tratamento adequado de fontes em múltiplos idiomas e garantindo que a análise de ameaças seja realizada de forma contextualizada e precisa.
Ausência menção à plataforma Google Play na lista de fontes monitoradas (2.7.11.2)	Informou que a plataforma Mantis possui funcionalidade operacional para monitoramento ativo da Google Play Store e outras lojas de aplicativos, oficiais e não oficiais, como parte da estratégia de detecção de aplicativos falsos e ameaças móveis. Utiliza coletores especializados na varredura e análise de APKs, capazes de identificar aplicativos maliciosos ou que simulem marcas legítimas. Quando detectado, o sistema registra metadados, incluindo a URL da loja, permitindo rastreamento e documentação da ameaça.
Ausência de comprovação de fontes a serem monitoradas pela solução como Shodan, BinaryEdge, Zone-H, Bases de CVE, entre outras, bem como sites que compartilhem informações sobre TTPs utilizados para ataques como phishing, ransomware, entre outros. (2.7.11.3)	Informou que Mantis possui a capacidade de verificar sites, sistemas e fontes como os sugeridos no texto editalício, trazendo como exemplo evento com dados de Shodan e fontes CVE simultaneamente.
Falta de monitoramento de fontes e plataformas (TikTok, WhatsApp, Telegram, Pastebin, Scribd, Reclame Aqui, 4Shared, Google Play e Feeds RSS.) (item 2.7.11.4) Ausência de informações sobre a disponibilização de metadados relativos às fontes monitoradas (2.7.11.4.1)	Forneceu screenshots de monitoramento em Reclame aqui, WhatsApp, Telegram, Scribd, 4Shared, Google Play, Pastebin e Tiktok. A ISH afirma que a plataforma Mantis possui um fluxo estruturado para coletar, enriquecer, indexar e armazenar metadados acionáveis, os quais ficam disponíveis no próprio sistema. Como comprovação, a empresa destaca screenshots fornecidas anteriormente, extraídas da interface da plataforma, que demonstram a coleta e apresentação desses metadados.
Ausência de comprovação de execução, eficácia, prazos (SLA) ou procedimentos adotados quanto à funcionalidade de takedown (2.7.11.6)	Sustentou que a contestação desconsidera o escopo do item 2.7.11.6, que exige apenas a oferta de serviço de monitoramento de domínios com alertas e acompanhamento de takedown. A empresa afirmou que sua proposta atende integralmente ao item, incluindo monitoramento de TLDs, detecção de uso indevido de marcas da ANAC, identificação de registrantes e emissão de alertas. Ressalta ainda que o edital não exige comprovação de eficácia, SLA ou documentação dos procedimentos, apenas a previsão do serviço, conforme apresentado.
Ausência de comprovação de funcionalidades previstas nos itens 2.7.11.7 e 2.7.11.8	Afirmou que o Mantis utiliza métodos de coleta adequados e autorizados para cada ambiente monitorado, garantindo conformidade e eficiência. Foram apresentados screenshots referentes ao Telegram w Whatsapp. Além disso, é destacado que as evidências e capturas de tela da plataforma Mantis comprovam, de forma clara, sua capacidade técnica e operacional, reforçando que o monitoramento efetivo é central na solução ofertada e que as fontes monitoradas atendem ao escopo exigido.
Ausência de comprovação de monitoramento de vulnerabilidades em domínio (2.7.11.10.4)	Informou que o Phish-Finder, ferramenta mencionada no item 2.7.7, conta com funcionalidades voltadas à detecção proativa de vulnerabilidades em domínios suspeitos, contribuindo para a segurança preventiva. Entre as principais funcionalidades relatadas estão: Validação de certificados SSL, identificando configurações inseguras ou inválidas; Verificação de IP via integração com Shodan, detectando exposições e falhas técnicas; Avaliação da idade do domínio, considerando domínios recém-criados como mais arriscados. Essas verificações são aplicadas no processo de análise de URLs e domínios, gerando alertas de risco e possibilitando ações preventivas contra ameaças cibernéticas.
Falta de detalhes técnicos, arquitetura, funcionalidades ou forma de operação da solução GV (item 2.7.11.10.5)	Apresentou a resposta ao esclarecimento 28, relacionado ao referido item, em que a ANAC afirmou que tal funcionalidade será atendida no serviço de gestão de vulnerabilidades.
Restrição do monitoramento a sites falsos, sem abrangência a aplicativos falsificados (item 2.7.11.10.19)	Afirmou que a plataforma Mantis realiza monitoramento ativo da Google Play Store e de outras lojas oficiais e não oficiais como parte de sua estratégia de detecção de aplicativos falsos e ameaças móveis. A solução inclui coletores especializados em APKs, capazes de identificar apps maliciosos, e registra a URL do aplicativo como metadado, permitindo seu rastreamento e documentação.