DOU 31/10/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023103100048
48
Nº 207, terça-feira, 31 de outubro de 2023
ISSN 1677-7042
Seção 1
7.10.1.4. Ressalta-se que a presente modalidade não admite o pagamento de
horas de serviços desvinculadas de produtos previamente previstos no catálogo de
serviços de consultoria anexo ao Termo de Referência cujos padrões de qualidade e
desempenho são previamente definidos, assim como os limites máximos de produtos a
serem demandados.
7.10.1.5. As atividades escopo do objeto a ser remunerado por produtos de
consultoria devem necessariamente demandar conhecimento técnico especializado e que
não sejam consideradas atividades rotineiras ou de possível realização por meio dos
usuários, técnicos do órgão ou entidade ou de desenvolvedores contratados na
construção ou manutenção da solução ou sistema.
7.10.2. Mecanismos de gestão
7.10.2.1. O serviço de consultoria especializada em software e/ou serviços de
computação em nuvem será realizado sob demanda, conforme escopo definido em
Ordem de Serviço (OS), que deverá conter a quantidade máxima de horas de
consultoria, além das informações contidas no Art. 32 da Instrução Normativa SGD/ME
nº 94, de 2022, o objetivo da OS, a descrição do que deve ser executado, os
produtos/resultados a serem entregues, o prazo de atendimento e os requisitos não
funcionais, a exemplo de critérios mínimos de desempenho operacional da solução,
critérios de segurança da informação, critérios de identidade visual e usabilidade.
7.10.2.2. O órgão ou entidade deve definir claramente as expectativas em
relação ao trabalho a ser realizado e ao tempo necessário para concluir a consultoria,
conforme os produtos previamente definidos no catálogo de serviços.
7.10.2.3. A equipe de fiscalização deverá implementar mecanismos próprios
de controle dos volumes consumidos, evitando-se a aferição baseada exclusivamente em
relatório ou outro artefato produzido pela própria contratada.
7.10.2.4. Deve-se prever no Termo de Referência que a emissão de Nota
Fiscal por parte da contratada deve estar condicionada à autorização prévia por parte
do gestor do contrato após a emissão do Termo de Recebimento Definitivo, nos termos
da alínea "n" do Inciso I do art. 33 da IN SGD/ME nº 94, de 2022.
7.10.3. Dimensionamento
7.10.3.1. No dimensionamento da remuneração por produtos de consultoria
especializada em software e/ou serviços de computação em nuvem diversos fatores
devem ser avaliados, a exemplo de:
a) histórico das necessidades de produtos e serviços de consultoria, caso
exista;
b) estimativa dos perfis profissionais e respectivos quantitativos que serão
necessários para execução dos serviços; e
c) estimativa do prazo máximo de entrega por produto de consultoria.
7.10.3.2. Na elaboração da memória de cálculo, devem-se observar as
diretrizes estabelecidas no item Dimensionamento do Volume de Serviços deste
modelo.
7.10.4. Forma de pagamento
7.10.4.1. O valor da unidade de medida que balizará os produtos de
consultoria especializada em software e/ou serviços de computação em nuvem (hora de
referência de consultoria) deve ser contabilizado em reais e deve incluir todos os
impostos e taxas aplicáveis.
7.10.4.2. O pagamento deverá ser realizado sempre vinculado ao produto
após seu recebimento e aceite.
7.10.4.3. A contratada será remunerada pelo serviço efetivamente prestado
no âmbito da Ordem de Serviço, aplicando-se o valor licitado para cada produto
executado constante do catálogo de serviços previsto no Termo de Referência,
observando o adimplemento dos níveis mínimos de serviços definidos.
7.10.4.4. O faturamento será calculado de acordo com a seguinte fórmula:
F = soma(P x Q) - soma(ajuste NMS)
onde:
F: faturamento a ser pago à contratada;
P: preço unitário por hora de consultoria especializada em software e/ou
serviços de computação em nuvem por atividade constante no catálogo;
Q: quantidade máxima de horas previstas no catálogo para cada produto; e
ajuste NMS: valor total de desconto sobre o faturamento, aplicado em
virtude de não atendimento dos níveis mínimos de serviço pela contratada.
7.10.5. Mecanismos de controle
7.10.5.1. Deve-se verificar os produtos efetivamente entregues e os
resultados efetivamente alcançados pelo serviço
de consultoria especializada em
software e/ou serviços de computação em nuvem, conforme quantidade máxima
prevista na Ordem de Serviço.
7.10.5.2. Devem-se implementar mecanismos de controle que busquem:
a) monitorar a manutenção das condições estabelecidas na licitação ou na
contratação direta; e
b) monitorar a manutenção das condições para assinatura do contrato.
7.10.5.3. Deve-se manter registro da execução do contrato, contendo a
quantidade de horas utilizadas para cada produto entregue pelos serviços de consultoria
para compor uma base histórica.
8. DA CONTINUIDADE DOS SERVIÇOS
8.1. Deve ser avaliado o grau de dependência da solução a ser contratada e
devem ser planejadas ações para minimizar impactos causados por eventual necessidade
de substituir a solução a ser adquirida.
8.2. Como forma de mitigar os riscos de dependência tecnológica ou
aprisionamento (lock-in), sempre que possível, devem ser realizadas ações preventivas
antes ou durante a adoção de software ou da execução dos serviços em nuvem, a
exemplo de:
a) utilizar padrões tecnológicos interoperáveis;
b) considerar o uso de tecnologia de contêineres, de forma a facilitar a
implantação padronizada de soluções;
c) evitar o uso de tecnologias e ferramentas proprietárias que possam
dificultar a portabilidade de aplicações e de dados entre nuvens de diferentes
provedores;
d) evitar o uso de bancos de dados proprietário de um provedor de nuvem
específico;
e) considerar a contratação de mais de um provedor de nuvem como
contingência; e
f) considerar a alternativa de utilizar a própria infraestrutura de TIC como
contingência.
8.3. Deve-se prever mecanismos que assegurem a continuidade dos serviços,
a exemplo de:
a) avaliar abordagens híbridas;
b) avaliar abordagens multicloud; e
c) avaliar a elaboração e a manutenção de um Plano de Continuidade de
Negócios (PCN), relacionado aos serviços públicos suportados pela contratação de
serviços de computação em nuvem.
8.4. Deve ser avaliada a relação custo-benefício de manter a solução
implantada ou de substituí-la em casos que, mesmo havendo alto impacto na migração
da solução, haja ganhos financeiros para o órgão ou entidade. Essa avaliação deve ser
executada por
meio da análise de
TCO dos possíveis cenários,
observando as
orientações publicadas pela SGD.
8.5. Deve-se assegurar no Termo de Referência que os serviços a serem
contratados permitam a portabilidade de dados e aplicativos e que as informações do
Contratante estejam disponíveis para transferência de localização em prazo adequado,
definido no termo de referência, e sem custo adicional, de modo a garantir a
continuidade do negócio e possibilitar a transição contratual.
9. DO SERVIÇO DE SUPORTE
9.1. O órgão ou entidade deve:
a) avaliar a viabilidade de permitir que empresas concorrentes participem da
disputa pela contratação do serviço de suporte técnico; e
b) avaliar o custo-benefício de contratar os serviços de suporte técnico e de
atualização de versões, sejam ambos ou somente um deles, ou de não contratar nenhum desses
serviços, considerando elementos como a necessidade de negócio e os riscos envolvidos.
9.2. Quando identificada a necessidade de prestação do suporte técnico
prestado diretamente pelo fabricante ou provedor, deve-se avaliar a contratação de
suporte técnico em nível corporativo com a disponibilização de, no mínimo, as seguintes
características:
a) central de atendimento para abertura de chamados para atendimento dos
chamados de suporte técnico. O regime de atendimento (24x5, 8x5, 24x7x365 etc.) deve
ser definido de acordo com a necessidade do órgão ou entidade. A central deverá ser
acionada, preferencialmente, por meio de ligação gratuita ou ligação local, podendo a
empresa contratada disponibilizar abertura de chamados pela internet. O atendimento
deverá ser realizado em língua portuguesa, salvo em situações expressas previstas no
Termo de Referência;
b) orientações para provisionar recursos, seguindo as práticas recomendadas
do fabricante ou provedor para, por exemplo, reduzir custos, aumentar o desempenho
e a tolerância a falhas e melhorar a segurança; e
c)
orientações relacionadas
à arquitetura,
projeto,
design, operação
e
resolução de problemas.
9.3. Quando identificada a necessidade de prestação do suporte técnico
prestado diretamente pelo fabricante ou provedor, deve-se exigir no Termo de
Referência que a empresa contratada apresente comprovação da aquisição do suporte
junto ao fabricante do software ou do provedor de nuvem pelo período estabelecido no
contrato.
9.4. O órgão ou entidade deve avaliar a prestação de suporte técnico
diretamente pela empresa contratada, caso esta não seja o fabricante ou provedor da
solução ofertada.
9.5. Deve-se avaliar a viabilidade de permitir que empresas concorrentes
participem da disputa pela contratação do serviço de suporte técnico.
10. DA PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO
10.1. O Termo de Referência deve conter, no que couber ao objeto
contratado, requisitos e obrigações de privacidade e segurança da informação, devendo
o órgão ou entidade empregar, conforme critérios próprios, aqueles requisitos que
forem imprescindíveis, considerando a legislação vigente e os riscos de privacidade e
segurança da informação.
10.2. Nas contratações de serviços em nuvem (IaaS, PaaS e SaaS) devem ser
observados, no mínimo, os requisitos de privacidade e segurança da informação, além
daqueles constantes nos templates de artefatos da contratação disponibilizados pela
SGD em parceria com a AGU:
a) a contratação deve estar alinhada às normas correlatas publicadas pelo
Gabinete de Segurança Institucional da Presidência da República - GSI/PR, a exemplo da
IN GSI/PR nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de
segurança da informação para utilização de soluções de computação em nuvem pelos
órgãos e pelas entidades da administração pública federal;
b) cada provedor de nuvem deve possuir, no mínimo, dois data centers em
território brasileiro, capaz de ofertar serviços padronizados e altamente automatizados,
nos
quais os
recursos
de infraestrutura
(por
exemplo,
computação, rede
e
armazenamento) são complementados por serviços de plataforma integrados, e deve
cumprir os requisitos de segurança da informação estabelecidos nos artigos 20 e 25 da
Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021;
c) deve-se exigir, mediante justificativa prévia, que os provedores de serviços
em nuvem possuam, no momento da assinatura do contrato, certificações de normas de
segurança da informação aplicáveis ao objeto da contratação, assim como outros
requisitos que objetivem mitigar riscos relativos à segurança da informação;
d) devem ser predefinidos canais para comunicação - de maneira rápida e
eficiente, e de acordo com os requisitos legais, regulatórios e contratuais - de eventos
de segurança da informação;
e) o contrato entre o órgão/entidade e o provedor/broker deve estabelecer
direitos claros e exclusivos de propriedade do órgão ou da entidade contratante sobre
todos os dados, informações e códigos tratados decorrentes do contrato, incluídas
eventuais cópias, cópias de segurança, logs, além do acesso aos dados.
f) logs de auditoria do provedor, que registrem atividades de acesso de
usuários privilegiados, tentativas de acesso autorizados e não autorizados, exceções do
sistema e eventos de segurança da informação, devem ser mantidos em conformidade
com as políticas e regulamentos aplicáveis, e devem estar de acordo com as políticas
do cliente;
g) deve-se prever cópia dos logs fornecidos pelo provedor, de acordo com a
política de retenção do cliente;
h) deve-se implementar controle de acesso lógico apropriado ao grau de
confidencialidade dos dados armazenados na nuvem e controles para transferência de
dados, como criptografia e uso de VPN adequada;
i) cada provedor deve garantir controles eficazes e compatíveis com as
políticas e procedimentos do cliente para gerenciamento de identidades de usuários e
controle de acessos;
j) devem ser
estabelecidas políticas e procedimentos para
o uso de
criptografia, incluindo gerenciamento de chaves criptográficas, que devem ser seguidos
pelo cliente e pelo provedor;
k) os dados armazenados no provedor devem estar criptografados, sendo
que o esquema criptográfico deve ser adequado ao nível de sigilo das informações e as
chaves criptográficas não devem ser armazenadas na nuvem;
l) devem ser estabelecidos os limites do acesso do provedor aos dados do
cliente e a responsabilidade do provedor em garantir o isolamento de recursos e dados
contra acesso indevido por outros clientes;
m) devem ser definidos os países e as regiões em cada país onde os serviços
poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados,
e o provedor deve assegurar que dados sujeitos a limites geográficos não sejam
migrados para além de fronteiras definidas em contrato;
n) a utilização de termo de confidencialidade, que deverá conter cláusula
que impeça o integrador ou provedor de serviço de nuvem de usar, transferir, e liberar
dados, sistemas, processos e informações do órgão ou da entidade para terceiros, como
empresas nacionais, transnacionais, estrangeiras, países e governos estrangeiros, além
de incluir a proibição do uso de informações do órgão ou da entidade para propaganda,
otimização de mecanismos de inteligência artificial ou qualquer uso secundário não
autorizado;
o) deve-se avaliar a previsão de mecanismos de proteção de aplicações e de
proteção de vulnerabilidade de código;
p) deve-se exigir que o cloud broker disponibilize uma estrutura exclusiva de
contas nos provedores de nuvem em nome do órgão ou entidade contratante, por meio
das quais os serviços serão provisionados; e
q) deve-se prever responsabilidade por parte do cloud broker para as
atividades de migração de contas entre cloud brokers ou outras ações necessárias à
prestação e à continuidade dos serviços.
11. ORIENTAÇÕES PARA A ANÁLISE COMPARATIVA DE SOLUÇÕES E DE
CÁLCULO DO CUSTO TOTAL DE PROPRIEDADE
11.1. A análise comparativa de soluções deve ser documentada e instruída
no Estudo Técnico Preliminar, evidenciando-se a análise das seguintes perspectivas:
a) atendimento às necessidades de negócio, ou seja, deve-se verificar se
cada solução possui capacidade de atendimento aos requisitos de negócio de forma
aderente e alinhada ao Plano Estratégico Institucional - PEI, ao Plano Diretor de
Tecnologia da Informação e Comunicação - PDTIC do órgão ou entidade, ao Plano de
Contratações Anual - PCA e a outros instrumentos de planejamento externos, a exemplo
da Estratégia de Governo Digital - EGD e do Plano Plurianual - PPA;
b) sustentação orçamentária, ou seja, deve-se verificar se cada solução
proposta é composta de uma estrutura de custeio compatível ao alocado pelo órgão ou
entidade para atender às necessidades de negócio;
c) efetividade da solução, ou seja, deve-se verificar se cada solução proposta
apresenta a capacidade de alcance da finalidade pretendida com a contratação;
d) comparação entre formas de fornecimento da solução (licenciamento
perpétuo, subscrição, on-premises, como serviço e abordagem híbrida), considerando,
sempre que possível, os custos totais de propriedade de cada forma, riscos e grau de
atendimento às necessidades de negócio esperadas;
Fechar