DOU 31/10/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023103100043
43
Nº 207, terça-feira, 31 de outubro de 2023
ISSN 1677-7042
Seção 1
em ambiente de nuvem, conforme os direcionadores de utilização de serviços de
computação em nuvem a seguir.
5.4. Dos direcionadores de utilização de serviços de computação em nuvem
5.4.1. A identificação do modelo de implantação de nuvem deve considerar as
características de cada carga de trabalho em relação ao nível de sigilo das informações
armazenadas ou manipuladas pelos serviços de TIC mantidos por essas cargas de
trabalho.
5.4.2. Admite-se a utilização em ambiente de nuvem (pública, privada, híbrida,
comunitária ou de governo) das cargas de trabalho que tratem informações sem restrição
de acesso, considerada a legislação de dados pessoais e os aspectos de segurança da
informação.
5.4.3. Devem ser mantidas em ambiente de nuvem de governo, exceto se
expressamente determinado pelo Comitê de Governança Digital ou instância equivalente
do órgão ou entidade, cargas de trabalho que tratem informação com restrição de acesso
prevista na legislação, a exemplo de: sigilo fiscal, bancário, comercial, empresarial,
contábil, de segredo industrial, de direito autoral, de propriedade intelectual, industrial,
policial, processual civil, processual penal e disciplinar administrativa.
5.4.4. Não poderão ser tratadas em ambiente de nuvem pública informações
e cargas de trabalho que tratem informações classificadas em grau de sigilo (reservadas,
secretas e ultrassecretas), nos termos do Decreto nº 7.724, de 16 de maio de 2012, e
documentos preparatórios que possam originar informação classificada em grau de
sigilo.
5.4.5. Os dados tratados em ambiente de nuvem devem ser armazenados em
data centers localizados em território brasileiro, admitindo-se o tratamento de dados em
data centers fora do território brasileiro somente nos casos em que haja cópia de
segurança atualizada armazenada em data centers localizados em território brasileiro,
respeitando-se os demais limites estabelecidos neste modelo.
5.5. Do documento de estratégia de uso de software e de serviços de
computação em nuvem
5.5.1. O Documento de Estratégia de Uso de Software e de Serviços de
Computação em Nuvem é o ato normativo aprovado pelo Comitê de Governança Digital
ou instância equivalente que orientará o uso de software e de serviços de computação
em nuvem do órgão ou entidade, observando os direcionadores de utilização de software
e de serviços de computação em nuvem descritos neste modelo, inclusive quanto aos
aspectos de segurança da informação e privacidade.
5.5.2. A critério do órgão ou entidade, o Documento de Estratégia de Uso de
Software e de Serviços de Computação em Nuvem poderá integrar o Plano Diretor de
Tecnologia da Informação e Comunicação - PDTIC.
5.5.3. O Ato Normativo sobre o Uso Seguro de Computação em Nuvem de que
trata o art. 4º da IN GSI/PR nº 5, de 2021, poderá integrar, a critério do órgão ou
entidade, o Documento de Estratégia de Uso de Software e de Serviços de Computação
em Nuvem.
5.5.4. O Documento de Estratégia de Uso de Software e de Serviços de
Computação em Nuvem deve conter, no mínimo, as informações contidas no modelo de
referência descrito no ANEXO II.
5.6. Da aprovação e acompanhamento pela alta administração
5.6.1. As diretrizes e decisões relacionadas à contratação de software e de
serviços de computação em nuvem que sejam de alta relevância para a continuidade dos
serviços finalísticos da organização pública devem ser aprovadas previamente pelo Comitê
de Governança Digital do órgão ou estrutura colegiada equivalente.
5.6.2. A execução dos contratos de software e de serviços de computação em
nuvem que sejam de alta relevância ou de alta materialidade para a continuidade dos
serviços finalísticos da organização pública deve ser supervisionada pelo Comitê de
Governança Digital do órgão ou estrutura colegiada equivalente, que poderá determinar
ajustes ou mudanças nos rumos estratégicos desses contratos.
5.6.2.1. Entende-se por serviços de alta relevância, aqueles que possuem
potencial de paralização ou de causar prejuízo à continuidade dos serviços finalísticos da
organização pública.
5.6.2.2. Entende-se por serviços de alta materialidade, aqueles que se
enquadram nos limites estabelecidos pela Instrução Normativa SGD/MGI n° 6, de 2023.
6. DO OBJETO
6.1. Para a contratação de software, a definição do objeto deverá conter
necessariamente o
tipo de
software pretendido,
o modelo
de licenciamento,
a
modalidade de remuneração, a vigência e a identificação dos tipos de serviços agregados
(suporte técnico, treinamento, atualizações, implementação etc.), além da observância
dos demais elementos estabelecidos no art. 13 da IN SGD/ME nº 94, de 2022.
6.1.1. Os documentos de planejamento da contratação, assim como as tabelas
de identificação dos itens do objeto da contratação constante do Termo de Referência, as
propostas comerciais das empresas licitantes e da empresa vencedora do certame e o
Termo Contratual devem conter, sempre que possível, informações necessárias à
identificação do software, serviço ou produto contratado, abrangendo, no mínimo, os
seguintes elementos:
a) nome específico, nome oficial e/ou descrição;
b) categoria ou linha do software, serviço ou produto;
c) código de identificação unívoca do fabricante (part number, SKU etc.);
d) modelo de licenciamento;
e) métrica ou unidade;
f) tipo de software, serviço ou produto; e
g) quantidade estimada.
6.1.2. O volume de licenças e de serviços agregados a serem contratados deve
refletir a necessidade do órgão, sendo vedado:
a) Incluir cláusula que direta ou indiretamente permita a cobrança retroativa
de valores referentes a serviços de suporte técnico e de atualização de versões relativa
ao período em que o órgão ou entidade tenha ficado sem cobertura contratual;
b) Incluir cláusula que direta ou indiretamente permita a cobrança de valores
para reativação de serviços agregados;
c) Incluir cláusula que direta ou indiretamente permita a cobrança de valores
relativos a serviço de correção de erros, inclusive retroativos, que devem ser corrigidos
sem ônus à contratante, durante o prazo de validade técnica dos softwares, nos termos
do Capítulo III da Lei nº 9.609, de 19 de fevereiro de 1998. Caso os erros venham a ser
corrigidos em versão posterior do software, essa versão deverá ser fornecida sem ônus
para a contratante; e
d) Incluir cláusula que direta ou indiretamente exija a contratação conjugada
de serviços de suporte técnico e de atualização de versões, quando não houver a
necessidade de ambos.
6.2. Para a contratação de serviços em nuvem, a definição do objeto deverá
conter necessariamente a indicação do modelo de implantação de nuvem (pública,
privada, híbrida, comunitária ou de governo), a modalidade de remuneração, a vigência
e a identificação dos tipos de serviços (implantação, provisionamento, orquestração,
migração, gerenciamento etc.), além da observância dos demais elementos estabelecidos
no art. 13 da IN SGD/ME nº 94, de 2022.
6.2.1. Os documentos de planejamento da contratação, assim como as tabelas
de identificação dos itens do objeto da contratação constante do Termo de Referência, as
propostas comerciais das empresas licitantes e da empresa vencedora do certame e o
Termo Contratual devem conter, sempre que possível, informações necessárias à
identificação dos serviços ou produtos contratados, abrangendo, no mínimo, os seguintes
elementos:
a) nome específico, nome oficial e/ou descrição do serviço ou produto ;
b) categoria ou linha do serviço ou produto;
c) código de identificação unívoca do provedor (part number, SKU etc.);
d) métrica ou unidade; e
e) tipo de serviço ou produto; e
f) quantidade estimada;
6.2.2. O planejamento das contratações de serviços em nuvem deve explicitar
a compatibilidade de investimentos já feitos ou planejados em equipamentos que deverão
ser desmaterializados por essas contratações.
6.3. As contratações de serviços utilizados em sistemas estruturantes devem
utilizar somente os modelos de implementação de nuvem privada, de nuvem comunitária
ou de nuvem de governo, desde que restritas às infraestruturas de órgãos ou de
entidades, conforme estabelecido no art. 11, inciso IV da IN GSI/PR nº 5, de 2021.
6.4. Sempre que possível deve-se avaliar o parcelamento do objeto quando se
tratar de software de diferentes categorias (exemplos: suíte de escritório, banco de
dados, sistemas operacionais, segurança, rede, utilitários, entre outros), devendo constar
no Estudo Técnico Preliminar as justificativas para o parcelamento ou não do objeto.
6.5. Havendo necessidade de indicação de fabricante de software, marca ou
provedor, a decisão pela escolha deve ser devidamente justificada no Estudo Técnico
Preliminar, tanto em termos técnicos como econômicos, com a realização de uma ampla
pesquisa e comparação efetiva com alternativas existentes, demonstrando que a solução
escolhida é a mais vantajosa e a única que atende às necessidades do órgão ou
entidade.
6.5.1. A indicação de fabricante de software, marca ou provedor é justificável
somente:
a) em decorrência da necessidade de padronização do objeto;
b) em decorrência da necessidade
de manter a compatibilidade com
plataformas e padrões já adotados pela Administração; e/ou
c) quando determinado provedor for o único capaz de atender às necessidades
do contratante;
6.6. O órgão ou entidade deverá exigir das empresas licitantes declaração que
ateste a não ocorrência do registro de oportunidade, de modo a garantir o princípio da
competitividade, conforme o disposto no art. 5º da Lei nº 14.133, de 2021.
6.7. As contratações de Software e Serviços de Computação em Nuvem
deverão estar explicitamente previstas no Plano de Contratações Anual (PCA) do órgão e
entidade para o exercício em que se dará a contratação.
6.7.1. Os valores previstos para as iniciativas deverão possuir mesma ordem
de grandeza dos valores estimados previstos no Termo de Referência.
6.7.2. Havendo necessidade de indicação de marca, fabricante, tipo de
software ou provedor de nuvem, deve-se deixar explícitas tais informações na descrição
da iniciativa a constar do Plano de Contratações Anual (PCA).
6.7.3. É dever da equipe de planejamento da contratação zelar pelo
alinhamento do planejamento da contratação ao Plano Anual de Contratação, realizando
se necessário as devidas atualizações nas iniciativas previstas no Plano de Contratações
Anual.
7. MODALIDADES DE REMUNERAÇÃO
7.1. Definição
7.1.1. A contratação de software e de serviços de computação em nuvem
pode ser realizada por meio de diferentes abordagens, denominadas modalidades de
remuneração.
7.1.2. Admite-se a adoção de mais de uma modalidade de remuneração para
diferentes itens ou lotes, a depender da seleção da estratégia de contratação dos serviços
pelo órgão ou entidade.
7.1.3. Cada modalidade de remuneração apresenta vantagens, desvantagens,
bem como diferentes níveis de riscos que podem variar em decorrência de cada
realidade, natureza das aplicações, capacidade de gerenciamento, entre outros fatores
internos e externos ao órgão ou entidade.
7.2. Diretrizes para a seleção da modalidade de remuneração
7.2.1. Na etapa de planejamento da contração devem ser avaliadas diferentes
formas de provimento e remuneração do objeto a ser contratado.
7.2.2. Há diferentes modalidades de remuneração de software e serviços de
computação
em
nuvem,
cada
uma adequada
ao
atendimento
de
um
cenário
específico.
7.2.3. Para identificar a modalidade de remuneração que melhor se adequa à
necessidade do órgão ou entidade é preciso levar em consideração:
a) os requisitos de negócio;
b) as necessidades tecnológicas;
c) as tecnologias já adotadas;
d) a cultura organizacional;
e) os riscos de indisponibilidade de serviço;
f) os riscos de dependência tecnológica;
g) a disponibilidade orçamentária;
h) os requisitos ambientais;
i) os resultados pretendidos; e
j) outros fatores que possam afetar a efetividade na utilização dos recursos
computacionais.
7.2.4. São premissas que devem ser observadas na construção do Termo de
Referência, independentemente da modalidade de remuneração adotada:
a) fixação dos critérios de aceitação dos serviços prestados;
b) definição dos níveis mínimos de serviço e de qualidade;
c) pagamento vinculado ao alcance de resultados;
d) escolha do modelo adequado de precificação ou pagamento pelo serviço e
os devidos controles, com vistas a mitigar riscos;
e) clareza quanto à definição do escopo dos serviços e seus entregáveis;
f) previsão de faixas de valores de ajustes nas metas dos indicadores de níveis
de serviço;
g) adoção dos mecanismos adequados de penalidades, objetivando punir
falhas de disponibilidade dos serviços contratados;
h) utilização de Termo de Confidencialidade ou Termo de Compromisso de
Manutenção de Sigilo;
i) observância da legislação brasileira quanto à segurança da informação,
proteção de dados pessoais e privacidade, em especial à Lei Geral de Proteção de Dados
Pessoais - LGPD (Lei nº 13.709, de 14 de agosto de 2018);
j) respeito ao direito de propriedade intelectual e direitos autorais da
contratante sobre o conteúdo hospedado, tratado, criado e alterado no ambiente de
nuvem objeto do contrato; e
k) observância às disposições contidas na Lei de Acesso à Informação - LAI (Lei
nº 12.527, de 18 de novembro de 2011).
7.2.5. As modalidades de remuneração padronizadas por este modelo são:
7.3. Remuneração de software por licença perpétua adquirida
7.3.1. Conceito da modalidade
7.3.1.1. A remuneração por licença perpétua adquirida é um modelo em que
as contratações de software são realizadas pela aquisição do direito de uso do software
de forma permanente, com base em métricas de quantidades previamente definidas (a
exemplo de: por estação de trabalho, por usuários concorrentes, por servidor de rede,
por núcleo de processamento computacional ou para todo o órgão, área ou
departamento).
7.3.1.2. O licenciamento perpétuo pode ser adquirido com ou sem alguns
serviços agregados (suporte técnico, manutenção, atualização de versões) que estão
vinculados às licenças contratadas, por um período determinado, conforme estudo a ser
realizado pelo órgão ou entidade, observando as suas necessidades e eventuais riscos.
7.3.1.3.
Deve-se avaliar,
durante o
planejamento
da contratação,
a
possibilidade do parcelamento da contratação dos serviços agregados em relação à
aquisição das licenças, bem como a necessidade de contratação futura de outros serviços
agregados.
7.3.2. Mecanismos de gestão
7.3.2.1. O órgão ou entidade deve demandar os volumes de licenças e serviços
agregados, de forma gradual, seguindo cronograma de implantação, cabendo o
pagamento apenas sobre os quantitativos demandados, fornecidos e efetivamente
implantados. O cronograma de implantação deve ser fundamentado na expectativa de
uso efetivo das licenças ao longo do tempo, de modo a mitigar o risco de se contratar
licenças muito antes de serem utilizadas.
7.3.2.2. Deve-se adotar mecanismos de gestão baseados no encaminhamento
de ordens de serviço, conforme o art. 32 da IN SGD/ME nº 94, de 2022, que contenham,
no mínimo, a identificação inequívoca do software (a exemplo de part number, SKU, ou
outro identificador utilizado pelo fabricante) e a quantidade das licenças estritamente
Fechar