DOU 31/10/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023103100042
42
Nº 207, terça-feira, 31 de outubro de 2023
ISSN 1677-7042
Seção 1
Referência. Esses serviços não se confundem com os serviços técnicos especializados de
natureza predominantemente intelectual, dispostos no inciso XVIII do art. 6º da lei nº
14.133, de 1º de abril de 2021.
h) Data center ou centro de dados: Consiste em uma estrutura, ou grupo de
estruturas,
dedicada
à
acomodação centralizada,
interconexão
e
operação
dos
equipamentos de tecnologia da informação e redes de telecomunicações que fornece
serviços de armazenamento de dados, processamento e transporte, em conjunto a todas as
instalações e infraestruturas de distribuição de energia e controle ambiental, juntamente
com os níveis necessários de recuperação e segurança requeridos para fornecer a
disponibilidade de serviço desejada, conforme ABNT NBR ISO/IEC 22.237-1:2023.
i) Disponibilidade: condição de um serviço ou recurso estar acessível e apto
para desempenhar plenamente suas funções, em determinado momento ou durante um
período acordado;
j) Hosting: locação de recursos computacionais localizados em infraestrutura
física tradicional de data center pertencente a terceiros, sem o compartilhamento de
recursos entre clientes, para a hospedagem de aplicações e soluções de TIC;
k) Incidente: qualquer acontecimento não planejado que cause redução na
qualidade do serviço ou interrupção do serviço em parte ou como um todo, ou evento
que ainda não impactou o serviço do usuário;
l) Incidente de Segurança da Informação: qualquer evento de segurança da
informação indesejável e inesperado, seja único ou em série, que pode comprometer as
operações de negócio e ameaçar a segurança da informação;
m) IN GSI/PR nº 5, de 2021: Instrução Normativa GSI/PR nº 5, de 30 de agosto
de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para
utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da
administração pública federal;
n) IN SGD/ME nº 94, de 2022: Instrução Normativa SGD/ME nº 94, de 23 de
dezembro de 2022, que dispõe sobre o processo de contratação de soluções de
Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do
Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder
Executivo Federal;
o) Instância de Computação: componente
de computação em nuvem
composto de máquina virtual e serviços agregados, como armazenamento, dispositivos de
rede e demais serviços necessários para manter essa máquina virtual em operação.
p) Integrador de Serviços em Nuvem (Cloud Broker): realiza a integração dos
serviços de computação em nuvem com agregação de valor entre o órgão ou a entidade
e dois ou mais provedores de serviço de computação em nuvem. O Cloud Broker apoia
o órgão ou entidade em descobrir, planejar, migrar, configurar, utilizar, gerenciar e
evoluir os serviços de computação em nuvem de forma segura e eficiente. Os serviços
prestados pelo Cloud Broker são orientados de acordo com os padrões internacionais
relevantes, como a ISO e a NIST e, no Brasil, a Associação Brasileira de Normas Técnicas
- ABNT, para garantir que os serviços sejam oferecidos de forma segura, eficiente e
confiável;
q) Licença
de software:
documento que
fornece diretrizes
legalmente
vinculantes para o uso e a distribuição de determinado software. A licença de software
geralmente fornece aos usuários finais o direito a uma ou mais cópias do software sem
incorrer em violação de direitos autorais. Também define as responsabilidades das partes
envolvidas no contrato de licença. Além disso, pode impor restrições sobre como o
software pode ser usado. Os termos e condições de licenciamento de software
geralmente incluem o uso justo do software, as limitações de responsabilidade, garantias
e isenções de responsabilidade e proteções se o software ou seu uso infringirem os
direitos de propriedade intelectual de terceiros;
r) Licença de uso: instrumento que estabelece o direito de usar o software
sem haver a transferência da sua propriedade entre o licenciante e o licenciado, e inclui,
entre outros direitos, o serviço de correção de erros, sem ônus ao licenciado;
s) Licença por subscrição/assinatura: permite aos usuários acessar o software
por meio de serviços online, em vez de adquirir uma licença de uso único. As licenças por
assinatura também podem fornecer aos usuários acesso a atualizações de software,
suporte técnico e outros serviços;
t) Licença perpétua: é uma licença que concede ao usuário o direito de usar
o software por tempo indeterminado, bem como acesso a updates e suporte técnico por
tempo determinado;
u) Manutenção de software (correção de erros): é o processo de fornecer
suporte técnico, atualizações e melhorias para um determinado software. É um processo
contínuo
que
garante
que
o
software
se
mantenha
atualizado
e
funcione
corretamente;
v) Marketplace: loja virtual operada por um provedor de nuvem que oferece
acesso a software e serviços que são desenvolvidos, se integram ou complementam as
soluções disponibilizadas pelo provedor de nuvem;
w) Modelos de implantação de nuvem: representam como a computação em
nuvem pode ser organizada, com base no controle e no compartilhamento de recursos
físicos ou virtuais. Os modelos de implantação em nuvem incluem: nuvem pública, nuvem
privada, nuvem comunitária e nuvem híbrida;
x) Modelo de Serviços em nuvem IaaS (Infrastructure as a Service - Infraestrutura
como Serviço): capacidade fornecida ao cliente para provisionar processamento,
armazenamento, comunicação de rede e outros recursos de computação fundamentais, nos
quais o cliente pode instalar e executar software em geral, incluindo sistemas operacionais
e aplicativos. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente,
mas tem controle sobre os sistemas operacionais, armazenamento e aplicativos instalados e,
possivelmente, um controle limitado de alguns componentes de rede;
y) Modelo de Serviços em nuvem PaaS (Platform as a Service - Plataforma
como Serviço): capacidade fornecida ao cliente para provisionar na infraestrutura de
nuvem aplicações adquiridas ou criadas para o cliente, desenvolvidas com linguagens de
programação, bibliotecas, serviços e ferramentas suportados pelo provedor de serviços
em nuvem. O cliente não gerencia nem controla a infraestrutura na nuvem subjacente,
incluindo rede, servidores, sistema operacional ou armazenamento, mas tem controle
sobre as aplicações instaladas e possivelmente sobre as configurações do ambiente de
hospedagem de aplicações;
z) Modelo de Serviços em nuvem SaaS (Software as a Service - Software como
Serviço): capacidade de fornecer uma solução de software completa que pode ser
contratada de um provedor de serviços em nuvem. Toda a infraestrutura subjacente,
middleware, software de aplicativo e dados de aplicativo ficam no data center do
provedor de serviços. O provedor de serviço gerencia hardware e software e garante a
disponibilidade e a segurança do aplicativo e de seus dados;
aa) Multinuvem (multicloud): uma estratégia de utilização dos serviços de
computação em nuvem por meio de dois ou mais provedores de nuvem pública;
ab) Nuvem comunitária: modelo de implantação de nuvem em que os serviços
de computação em nuvem são exclusivamente suportados e compartilhados por um
grupo específico de órgãos e entidades de serviços de computação em nuvem que têm
requisitos compartilhados e um relacionamento entre si, e onde os recursos são
controlados por pelo menos um membro deste grupo, conforme ISO/IEC 22123-1:2023
(Information technology - Cloud computing - Part 1: Vocabulary). O modelo de nuvem
comunitária admite o uso de recursos computacionais de provedores de nuvem pública
somente se assegurado o isolamento lógico e físico desses recursos, no ambiente do
próprio órgão ou de empresas públicas, e não se configurando como uso de Nuvem
Pública;
ac) Nuvem de governo: infraestrutura de nuvem privada ou comunitária gerida
exclusivamente por órgãos ou empresas públicas;
ad) Nuvem híbrida: infraestrutura de nuvem composta por duas ou mais
infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas
próprias
características,
mas
agrupadas
por
tecnologia
padrão
que
permite
interoperabilidade e portabilidade de dados, serviços e aplicações;
ae) Nuvem privada ou interna - infraestrutura de nuvem dedicada para uso
exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos
usuários, e sua propriedade pode ser do próprio órgão ou de empresas públicas com
finalidade específica relacionada à tecnologia da informação, conforme ISO/IEC 22123-
1:2023 (Information technology - Cloud computing - Part 1: Vocabulary). O modelo de
nuvem privada admite o uso de recursos computacionais de provedores de nuvem pública
somente se assegurado o isolamento lógico e físico desses recursos, no ambiente do
próprio órgão ou de empresas públicas, e não se configurando como uso de Nuvem
Pública;
af) Nuvem pública ou externa - infraestrutura de nuvem dedicada para uso
aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de
órgãos públicos, empresas privadas ou de ambos;
ag) Orquestração: habilidade de coordenar e gerenciar recursos em diferentes
provedores de nuvem públicas;
ah) Plataforma de gerenciamento de serviços em nuvem (Cloud Management
Platform - CMP): sistema capaz de realizar o provisionamento e orquestração, requisição
de serviço, inventário e classificação, monitoramento e análise, gerenciamento de custos
e otimização de carga de trabalho, migração em nuvem, backup e recuperação de
desastres, gerenciamento de segurança, conformidade e identidade e deployment e
implantação dos recursos nos provedores de nuvem ofertados;
ai) Provedor de serviços em nuvem: empresa que possui infraestrutura de
Tecnologia da Informação - TI destinada ao fornecimento de infraestrutura, plataformas e
aplicativos baseados em computação em nuvem;
aj) Região: agrupamento de localizações geográficas específicas em que os
recursos computacionais se encontram hospedados;
ak) Serviço: meio de entregar valor aos usuários internos ou externos à
organização ao facilitar o alcance de resultados almejados;
al) Serviços agregados: são serviços adicionais providos pelo fornecedor da
solução que oferecem aos usuários acesso a recursos adicionais relacionados ao objeto
principal. Esses serviços podem incluir suporte técnico, treinamento, atualizações,
implementação e outros serviços.
am) Sistemas estruturantes: são sistemas de informação desenvolvidos e
mantidos para operacionalizar e sustentar as atividades de pessoal, orçamento, estatística,
administração financeira, contabilidade e auditoria, e serviços gerais, além de outras
atividades auxiliares comuns a todos os órgãos da Administração que, a critério do Poder
Executivo, necessitem de coordenação central;
an) Software livre: tipo de software de código aberto que pode ser usado,
estudado, modificado e redistribuído gratuitamente. O software livre é publicado sob uma
licença que permite aos usuários acessar os códigos-fonte e modificá-los para atender às
suas necessidades;
ao) Software open source (ou de código aberto): tipo de software de código
aberto que pode ser usado, estudado, modificado e redistribuído gratuitamente. O
software open source é publicado sob uma licença que permite aos usuários acessar o
código-fonte, mas impõe certas limitações quanto a sua modificação ou personalização;
ap) Software pronto para uso: software disponibilizado (pago ou não) com um
conjunto de funcionalidades pré-concebidas, também conhecido como Ready to Use
Software Product (RUSP) ou mais comumente como "software de prateleira";
aq) Suporte técnico: serviço provido pelo fornecedor para auxiliar os usuários
com problemas relacionados ao serviço contratado. O suporte técnico pode incluir
resolução de problemas, treinamento, atualizações, implementação e instalação;
ar) Tratamento da informação: conjunto de ações referentes à produção,
recepção,
classificação,
utilização,
acesso,
reprodução,
transporte,
transmissão,
distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle
da informação;
as) Recursos reservados: são aqueles recursos tecnológicos que possuem
planos pré-definidos de consumo por determinado período mediante a aplicação de
desconto, seja por meio de antecipação de pagamento, seja mediante pagamento mensal
durante o período pré-definido.
at) Função como Serviço (FaaS): recursos fornecidos ao órgão e entidade para
construir e gerenciar aplicativos de microsserviços ou equivalentes, de forma escalável,
conforme ISO 22123-2:2023.
au) Banco de Dados como Serviço (DBaaS): ambiente no qual o recurso usado
pelo órgão ou entidade é um banco de dados disponibilizado e operado pelo provedor de
serviços em nuvem, e suas funções são acessadas por APIs ou meios equivalentes,
conforme ISO 22123-2:2023.
3. DO ESCOPO
3.1. Este modelo abrange a contratação de:
a) software sob o modelo de licenciamento permanente de direitos de uso;
b) software sob o modelo de cessão temporária de direitos de uso;
c) software sob o modelo de licenciamento por subscrição ou como Serviço (SaaS);
d) Infraestrutura como Serviço (IaaS);
e) Plataforma como Serviço (PaaS);
f) suporte técnico para software e serviços de computação em nuvem;
g) serviço de operação e gerenciamento de recursos em nuvem;
h) serviço de migração de recursos para ambiente de nuvem;
i) integração de serviços de computação em nuvem; e
j) consultoria especializada em software e/ou serviços de computação em nuvem.
3.2. Não são objetos deste modelo:
a) aquisição de ativos de infraestrutura de TIC;
b) aquisição de ativos de rede;
c) contratação de hosting;
d) contratação de co-location;
e) contratação de serviços de desenvolvimento, manutenção e sustentação de
software, escopo da Portaria SGD/MGI nº 750, de 20 de março de 2023, e suas
atualizações; e
f) contratação de serviços de operação de infraestrutura e atendimento a
usuários de Tecnologia da Informação e Comunicação, escopo da Portaria SGD/MGI nº
1.070, de 1º de junho de 2023, e suas atualizações.
4. DOS BALIZADORES DO MODELO
4.1. O modelo está orientado a partir das seguintes bases:
a) vinculação a resultados: toda execução dos serviços deve estar orientada ao
alcance de resultados previamente estabelecidos, de forma planejada e controlada.
b) continuidade do serviço público: adoção de infraestrutura de tecnologia
capaz de assegura a continuidade, disponibilidade, segurança e integridade dos serviços
públicos;
c) segurança da informação: observância
à legislação, normativos e
orientações de órgãos de controle relacionados à segurança da informação;
d) parcelamento da contratação: realização do parcelamento da solução de TIC
a ser contratada, em tantos itens quanto se comprovarem tecnicamente viável e
economicamente vantajoso, avaliando sempre que possível a necessidade de licitações e
contratações separadas para os itens que, devido a sua natureza, possam ser divididos.
e) padronização dos tipos de remuneração: aderência às modalidades de
remuneração previstas neste documento;
f) diretrizes para a seleção da modalidade de contratação: adoção de métricas
padronizadas para cada modalidade de contratação;
g) utilização de catálogos padronizados: orientações para o uso de catálogos
padronizados no planejamento das contratações;
h) definição de níveis mínimos de serviços: estabelecimento de padrões de
níveis mínimos de serviço que devem servir de referência às contratações; e
i) gerenciamento de riscos: adoção de processos e estudos abrangentes para
a análise dos riscos, atentando para os possíveis impactos financeiros e não financeiros
decorrentes desses riscos.
5. DAS DIRETRIZES ESTRATÉGICAS DO USO DE SOFTWARE E COMPUTAÇÃO EM NUVEM
5.1. A definição de uma estratégia de uso de software e serviços de
computação em nuvem é uma iniciativa fundamental para assegurar que o órgão ou
entidade obtenha os resultados esperados e mitigue os riscos associados à adoção de
possíveis novas tecnologias ou novas formas de contratação.
5.2. A estratégia a ser adotada pelo órgão ou entidade deve pautar-se nos
requisitos de negócio, nos resultados pretendidos e na segurança da informação e
privacidade, levando em consideração as especificidades de cada carga de trabalho.
5.3. O órgão ou entidade deve submeter os dados à classificação prévia da
informação, nos termos do Decreto nº 7.724, de 16 de maio de 2012, de forma a
assegurar que não haja restrições normativas ou legais para o tratamento da informação
Fechar