Nota Técnica nº 130/2025/GEIT/STD
ASSUNTO
Contratação de solução de tecnologia da informação e comunicação para prestação de serviços técnicos especializados de Segurança da Informação para a implantação de um Security Operation Center - SOC, envolvendo serviços de gerenciamento, monitoramento, detecção e resposta a incidentes de segurança, de gestão de vulnerabilidades, de gestão de ativos e configuração segura, de gestão de conta, controle de acesso e auditoria, de apoio à gestão de segurança, serviços de inteligência de ameaças cibernéticas e de testes de invasão, pelo período de 24 (vinte e quatro) meses.
REFERÊNCIAS
Processo nº 00058.007264/2023-23
Pregão 90006/2025
Proposta Comercial Grupo 1 - Diazero (11613895)
Anexo Habilitação Grupo 1 - Diazero (11613930)
Anexo Diligências Grupo 1 - Diazero (11613938)
Relatório de Diligências - Grupo 1 (11619449)
Recurso Grupo 1 - recorrente Kryptus (11613945)
Recurso Grupo 1 - recorrente S3curity (11613948)
Anexo Contrarrazões Diazero - Recurso Kryptus (11625247)
Anexo Contrarrazões Diazero - Recurso S3curity (11625254)
SUMÁRIO EXECUTIVO
Trata a presente Nota Técnica de apresentar esclarecimentos da Superintendência de Tecnologia e Transformação Digital - STD quanto aos recursos apresentados pelas empresas KRYPTUS SEGURANÇA DA INFORMAÇÃO S.A e S3CURITY TECNOLOGIA SERVIÇOS DE INFORMÁTICA LTDA diante do resultado do Grupo 1 do Pregão 90006/2025, o qual declarou a empresa DIAZERO CONSULTORIA EM SEGURANÇA ONLINE LTDA vencedora do grupo.
INFORMAÇÕES E ANÁLISE
Foram analisados e considerados os recursos apresentados, bem como os argumentos da CONTRARRAZÃO fornecidos pela empresa DIAZERO.
ANÁLISE 1 - DO RECURSO APRESENTADO PELA EMPRESA KRYPTUS:
O recurso apresentado pela KRYPTUS foi fundamentada em 2 pontos, cujos argumentos seguem resumidos abaixo:
Ausência de Comprovação de Atendimento à Planilha Ponto a Ponto
A empresa recorrente (Kryptus S.A.) aponta que a licitante vencedora (Diazero Consultoria) não apresentou comprovação técnica adequada conforme exigido no item 8.4 do Termo de Referência. A exigência era de planilha ponto a ponto com indicação precisa das evidências técnicas de atendimento a cada item das especificações técnicas, com citação de documentos, páginas e parágrafos, o que não foi cumprido.
Apesar de duas diligências promovidas pelo pregoeiro, a planilha entregue pela recorrida:
Continuou sem apresentar evidências documentais concretas;
Continha afirmações genéricas e links pontuais, sem correlação com os itens exigidos;
Deixou 52 itens relacionados à ferramenta de SIEM (Elastic) sem comprovação técnica;
Violou expressamente os subitens 8.4.4 e 8.4.10 do Termo de Referência.
Alega-se que a habilitação da empresa sem as comprovações exigidas viola o princípio da vinculação ao instrumento convocatório, podendo resultar em contratação de solução ineficiente ou incompatível com os requisitos da Administração Pública.
Diligência Insuficiente quanto aos Requisitos da Arquitetura Tecnológica
No que tange aos requisitos de infraestrutura do SOC (item 4.8 do Termo de Referência), a empresa Diazero limitou-se a apresentar declaração genérica de atendimento, sem anexar documentos, imagens, plantas, prints ou relatórios técnicos que comprovassem o atendimento dos 16 requisitos mínimos, como:
Monitoramento por CFTV e registros de acesso;
Controle de acesso físico com múltiplos fatores de autenticação;
Sistemas de energia ininterrupta e redundância;
Segurança armada 24x7 e ambiente sem campo visual externo.
A única documentação efetiva entregue foi o certificado ISO/IEC 27001, que cobre apenas aspectos gerais de segurança da informação. Os demais itens carecem de comprovação objetiva, o que configura descumprimento do edital.
A aceitação dessa documentação, sem elementos materiais comprobatórios, é qualificada pela recorrente como erro grosseiro, comprometendo a segurança da contratação e contrariando os princípios da legalidade, eficiência e julgamento objetivo.
ANÁLISE 1 - DA CONTRARRAZÃO APRESENTADA PELA EMPRESA DIAZERO:
Em síntese, a empresa DIAZERO defende que:
Atendeu plenamente aos itens 8.4.4 e 8.4.10 do Termo de Referência.
A planilha ponto a ponto foi apresentada com referências claras a documentos comprobatórios, incluindo links, páginas e documentos oficiais.
O edital não exige evidência individual para cada linha da planilha, mas sim comprovação integrada, o que foi cumprido.
Todas as diligências realizadas pela Administração foram devidamente respondidas e consideradas satisfatórias.
Além disso, a empresa justifica a validade das diligências com base no art. 64 da Lei 14.133/2021, e cita jurisprudência do TCU para sustentar que:
Diligências são instrumentos legítimos para esclarecer dúvidas e sanar falhas formais.
Não houve acréscimo indevido de documentos essenciais, apenas esclarecimentos dentro do prazo legal.
AVALIAÇÃO 1 - DO RECURSO E DA CONTRARRAZÃO:
Inicialmente, é importante destacar o que traz a Instrução Normativa SEGES/ME Nº 73, DE 30 DE SETEMBRO DE 2022, em seu Art. 16, § 4º:
"Os esclarecimentos e as impugnações ao edital e as respectivas respostas e decisões passam a integrar o edital, vinculando os licitantes e a Administração."
Considerando os pedidos de esclarecimentos realizados, cumpre observar a resposta ao questionamento 1, presente na imagem a seguir:
A respeito da planilha apresentada pela empresa DIAZERO, especialmente no que se refere à comprovação da solução de SIEM e da solução de gestão de vulnerabilidades, é fato que alguns itens permaneceram sem comprovação documental, conforme apontado pela empresa KRYPTUS.
Entretanto, é importante considerar que os requisitos constantes do Termo de Referência foram elaborados prevendo a participação de diferentes soluções presentes no mercado, entre as quais se encontram os produtos ELASTIC ENTERPRISE (SIEM) e Tenable (gestão de vulnerabilidades). Por sua vez essas foram os produtos incluídos na proposta comercial.
Dessa forma, é pertinente avaliar que as soluções ofertadas atendem integralmente aos requisitos do edital, e que a eventual desclassificação da proposta com base nesse argumento não se mostra razoável.
Cabe destacar ainda que o recurso apresentado pela KRYPTUS não questionou o atendimento das soluções aos requisitos técnicos, limitando-se à análise do preenchimento da planilha, item por item.
Por fim, as diligências realizadas tiveram como objetivo confirmar se as licenças seriam fornecidas nos quantitativos e condições previstas no Edital — o que foi devidamente confirmado pela DIAZERO em sua resposta.
No que se refere à alegação de diligência insuficiente quanto aos requisitos da arquitetura tecnológica, cabe observar que a comprovação documental desses requisitos não foi exigida no item 8.4 – Qualificação Técnica. Ainda assim, foi realizada diligência junto à empresa DIAZERO, com o objetivo de verificar o atendimento a esse item.
Além da resposta positiva e dos esclarecimentos adicionais fornecidos, a empresa anexou certificado que atesta sua conformidade com a norma ISO/IEC 27001:2022, a qual estabelece requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Essa norma internacional visa proteger informações contra ameaças, assegurando sua confidencialidade, integridade e disponibilidade, além de orientar as organizações na identificação de riscos e na implementação de controles de segurança apropriados.
Diante do exposto, entende-se como adequada a manutenção da aceitação da proposta apresentada pela empresa DIAZERO SECURITY.
ANÁLISE 2 - DO RECURSO APRESENTADO PELA EMPRESA S3CURITY:
A empresa S3CURITY questiona a habilitação da DIAZERO por descumprimento de exigências materiais, destacando o seguinte aspecto técnico:
Planilha ponto a ponto incompleta, especialmente nos itens sobre SIEM e gestão de vulnerabilidades (itens 5 e 8 do Termo de Referência), sem comprovações exigidas como relatórios, prints ou documentação técnica.
AVALIAÇÃO 2 - DO RECURSO:
Esse ponto do recurso é idêntico ao protocolado pela empresa KRYPTUS e já avaliado no item 4.4 – AVALIAÇÃO 1 – DO RECURSO E DA CONTRARRAZÃO da presente Nota Técnica.
Igualmente não houve questionamento técnico quanto ao atendimento das soluções ofertadas às exigências do Termo de Referência, limitando-se a análise à forma de preenchimento da planilha de requisitos, item por item.
Dessa forma, mantém-se o entendimento quanto à razoabilidade da aceitação da proposta apresentada.
CONCLUSÃO
As evidências e os esclarecimentos apresentados nesta Nota Técnica confirmam que todos os requisitos técnicos exigidos no Termo de Referência do Pregão Eletrônico nº 90006/2025, referentes ao Grupo 1, foram atendidos.
Dessa forma, restou comprovada a adequação da proposta apresentada pela empresa recorrida, evidenciando sua capacidade técnica e a conformidade da solução com os parâmetros estabelecidos no edital.
Recomenda-se, portanto, a manutenção da aceitação da proposta comercial apresentada pela empresa DIAZERO CONSULTORIA EM SEGURANÇA ONLINE LTDA.
Submete-se o presente parecer à Gerência Técnica de Licitações e Contratos – GTLC/SAF para as providências cabíveis.
Brasília, na data da assinatura
|
Integrante Requisitante |
Integrante Técnico |
|
Felipe Santos Sarmanho |
Reginaldo Lira de Araújo |
 | Documento assinado eletronicamente por Reginaldo Lira de Araujo, Analista Administrativo, em 05/06/2025, às 18:01, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. |
| | Documento assinado eletronicamente por Felipe Santos Sarmanho, Gerente de Infraestrutura Tecnológica, em 05/06/2025, às 18:08, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020. |
 | A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 11623711 e o código CRC 834203AA. |
| Referência: Processo nº 00058.007264/2023-23 | SEI nº 11623711 |