Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 31/10/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023103100052
52
Nº 207, terça-feira, 31 de outubro de 2023
ISSN 1677-7042
Seção 1
f) Indicador de Disponibilidade dos Serviços de Gerenciamento (IDSG).
19.2.9.7. Remuneração por instâncias migradas, funções como serviço migradas
e bancos de dados como serviço migrados:
a) Indicador de Chamados atendidos dentro do Prazo (ICP);
b) Indicador de Disponibilidade de Serviço (IDS);
c) Indicador de Eficácia no tratamento de Chamados, Requisições ou Incidentes (IECRI);
d) Indicador de Satisfação dos Usuários (ISU);
e) Indicador de Tempestividade no Gerenciamento ou Migração dos serviços (ITGM); e
f) Indicador de Conformidade no Gerenciamento ou Migração dos serviços (ICGM).
19.2.9.8. Remuneração por produtos de consultoria especializada em software
e/ou serviços de computação em nuvem:
a) Indicador de Atraso na Entrega (IAE); e
b) Indicador de Satisfação dos Usuários (ISU).
19.2.10. Cada órgão ou entidade deverá avaliar a necessidade da criação de
outros indicadores além daqueles mínimos obrigatórios descritos nesta seção, com vistas a
assegurar o atendimento às necessidades de negócio e ao alcance dos resultados
pretendidos com a contratação.
19.3. Glosas e sanções
19.3.1. As glosas e sanções devem ser proporcionais à relevância ou significância
de cada indicador de Nível Mínimo de Serviço (NMS), de modo a assegurar o alcance da
qualidade, segurança e tempestividade na contratação de software ou de serviços de
computação em nuvem.
19.3.2. Para a contratação de serviços de software, incluindo subscrição, e
serviços de computação em nuvem, sempre que possível, a equipe de planejamento da
contratação deve implementar um mecanismo gradual de aplicação de glosas proporcionais
ao grau ou ao impacto do inadimplemento das condições previstas no Termo de Referência.
Para a contratação ou aquisição de licenciamento de software quando for previsto
pagamento à vista, a equipe de planejamento da contratação deve implementar um
mecanismo gradual de aplicação de sanções, uma vez que somente cabe aplicação de glosas
quando houver pagamento pendente.
19.3.3. Há duas abordagens na definição dos mecanismos de glosas que podem
ser adotadas:
a) Abordagem fixa, baseada na definição de faixas fixas de ajuste no pagamento,
de forma independente entre os Níveis Mínimos de Serviço; e
c) Abordagem ponderada, baseada na definição de um valor máximo de
desconto possível, em conjunto com a adoção de um mecanismo de ponderação de acordo
com a relevância de cada Nível Mínimo de Serviço.
19.3.4. Na abordagem fixa, a definição do nível de desconto para cada faixa de
ajuste por nível de serviço deve ser dimensionada em função do risco associado ao
descumprimento do NMS e o respectivo impacto para o alcance dos resultados,
assegurando-se a proporcionalidade entre o ajuste e o impacto da ação ou comportamento
que se deseja coibir.
19.3.5. Na abordagem ponderada, devem-se atribuir pesos percentuais para
cada NMS que, somados, não ultrapassem um valor situado no intervalo de 250 a 300%,
além de se fixar um limite máximo de desconto. Assim, durante a aplicação de uma
penalidade, se o limite aplicável de glosa sobre as faturas for de 30%, tem-se a seguinte
fórmula: peso do NMS descumprido x 30%. Caso o somatório dos pesos dos NMS
descumpridos ultrapasse 100%, aplica-se o desconto máximo previsto, a exemplo de 30%.
19.3.6. As condições passíveis de aplicação de sanções devem ser apresentadas
de forma detalhada em quadro específico, a exemplo do quadro constante no template de
Termo de Referência para serviços de TIC, publicado pelo Órgão Central do SISP.
19.4. Critérios de aceitação dos serviços
19.4.1. Com vistas a assegurar a qualidade dos serviços e a fim de mitigar os
riscos de recebimento de serviços diferentes daqueles especificados pelo órgão ou entidade,
devem-se estabelecer critérios mínimos de aceitação, ou seja, condições de aceite ou não
do serviço executado, avaliando, quando couber:
a) qual é o software específico ou serviço em nuvem que está sendo
disponibilizado;
b) se o software ou serviço em nuvem especificado na proposta comercial é o
mesmo que está sendo entregue ao órgão ou entidade, considerando aspectos como: o
nome, a versão, a categoria, forma de licenciamento e o código de identificação unívoca;
c) se o software entregue está devidamente licenciado junto ao fabricante;
d) se o quantitativo demandado foi efetivamente disponibilizado ou prestado;
e) se foram disponibilizadas informações inerentes ao uso do software entregue,
por meio de consoles ou portais disponibilizados pelo próprio fabricante;
f) se o prazo de suporte e/ou garantia do software ou serviço em nuvem
contratado é o mesmo estabelecido no contrato;
g) se foram fornecidos registros de licença do software ou chaves de instalação
e documentação técnica original do fabricante;
h) se foi disponibilizado acesso a portal do fabricante, que permite a
administração das licenças de software; e
i) se a contratada disponibilizou as licenças e o acesso ao portal do cliente.
19.4.2. Recomenda-se a adoção de checklist para a conferência dos critérios
mínimos de aceitação apresentados nesta seção, conforme os exemplos de listas de
verificação contidos no ANEXO VII.
19.4.3. Deve-se registrar nos autos do processo de fiscalização a verificação do
atendimento aos critérios mínimos de aceitação ou registro de ocorrência.
19.4.4. Cada órgão ou entidade deve manter um processo interno de
recebimento dos serviços de software e de computação em nuvem, observando as diretrizes
constantes no art. 33 da IN SGD/ME nº 94, de 2022.
20. DO GERENCIAMENTO DE CUSTOS DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM
20.1. Os mecanismos de gerenciamento de custos de serviços de computação
em nuvem são elementos fundamentais para assegurar a governança e a supervisão na
gestão contratual em relação aos limites autorizados de execução dos recursos a serem
previstos nas ordens de serviço.
20.2. O órgão ou entidade deve prever no Termo de Referência a estrita
observância, para fins de pagamento, aos limites de recursos e serviços estabelecidos em
cada ordem de serviço formalmente demandados pelo gestor do contrato.
20.3. O órgão ou entidade deve assegurar que cada carga de trabalho:
a) seja precedida de planejamento operacional compatível com os objetivos
previstos na ordem de serviço;
b) possua cotas que limitem o consumo de determinado recurso de acordo com
as necessidades da CONTRATANTE;
c) permita o gerenciamento de capacidade com antecedência com vistas a evitar
a limitação inesperada do consumo de recursos conforme limites previamente estabelecidos
na ordem de serviço; e
d) preveja mecanismos de controle de custos por meio de alertas relacionados a
situações em que os gastos atingirem determinados limites previamente estabelecidos na
ordem de serviço.
20.4. O gerenciamento de custos deve ser responsabilidade da contratada,
conforme diretrizes previamente estabelecidas nas ordens de serviço.
20.5. O órgão ou entidade poderá avaliar durante o planejamento da
contratação a necessidade da contratação de serviços especializados de auditoria técnica de
serviços de computação em nuvem, com vista a assegurar a otimização dos recursos de
computação em nuvem utilizados.
21. DA VIGÊNCIA DOS CONTRATOS
21.1. O contrato a ser firmado poderá ter vigência de até 5 (cinco) anos, nas
hipóteses de serviços e fornecimentos contínuos, podendo ser prorrogado, até o limite de
10 (dez) anos, conforme as regras e diretrizes estabelecidas nos arts. 105 a 107 da Lei nº
14.133, de 2021.
21.2. A definição da vigência do contrato deve considerar aspectos técnicos e
econômicos do objeto, devidamente registrados nos Estudos Técnicos Preliminares pela
equipe de planejamento da contratação. As justificativas para o prazo de vigência adotado
devem constar no Termo de Referência.
22. DA PREVISÃO DE ANTECIPAÇÃO DE PAGAMENTOS
22.1. Excepcionalmente, admite-se o pagamento antecipado para remuneração
por créditos se constatado que a solução propiciará sensível economia de recursos ou
representará condição indispensável para a prestação do serviço, hipóteses que deverão ser
previamente justificadas no estudo técnico preliminar por meio de memória de cálculo
específica e serem expressamente previstas no Termo de Referência.
22.1.1. Entende-se por sensível economia, a redução no preço do recurso igual
ou superior a 12% (doze por cento) ao ano em relação às demais modalidades comparadas,
ou outro percentual definido pelo órgão, desde que demonstrada de forma clara a
vantajosidade econômica. Por exemplo, a antecipação de pagamento de um recurso com
vigência de 12 meses deve demandar a aplicação de um desconto mínimo de 12%, já a
antecipação de um recurso com vigência de 36 meses deve demandar a aplicação de um
desconto mínimo de 36%.
22.2. O órgão ou entidade deverá avaliar, durante o planejamento da
contratação, a necessidade de exigência da prestação de garantia adicional como condição
para o pagamento antecipado, considerando os respectivos riscos identificados no mapa de
gerenciamento de riscos da contratação.
22.3. Deverão constar no Termo de Referência cláusulas que prevejam a
devolução do valor antecipado caso o objeto não seja executado no prazo contratual.
23. DO GERENCIAMENTO DE RISCOS
23.1. O órgão ou entidade deve realizar um estudo abrangente para a análise
dos riscos sobre os itens a serem licitados e sobre o contrato, contemplando, entre outras
medidas, a identificação, a análise, a avaliação, o plano de tratamento e o monitoramento
dos riscos identificados.
23.2. Devem ser incluídos no escopo da análise de riscos as etapas de execução
contratual, de negociação das prorrogações do contrato e de licitação para a substituição do
fornecedor, aplicando, em cada etapa, as ações cabíveis previstas no referido plano de
tratamento de riscos.
23.3. Principais riscos a serem tratados
23.3.1. Os riscos durante o processo de contratação de software ou de serviços
de computação em nuvem devem ser tratados de acordo com a política de gestão de riscos
de cada órgão ou entidade, embasando as decisões de tratamento do risco de acordo com
a realidade da organização e levando-se em consideração o apetite de risco da alta
administração, o limite de exposição a riscos, o impacto na política pública que pode ser
afetada, os instrumentos de governança em vigor, as questões legais em curso, a
dependência tecnológica do fornecedor, a dificuldade de substituição do fornecedor, a
descontinuidade no fornecimento por eventos imprevistos ligados ao fornecedor, dentre
outros, sempre atentando para os possíveis impactos decorrentes desses riscos.
23.3.2. Independentemente da modalidade adotada, o órgão deve realizar o
mapeamento de riscos da contratação, detalhando a identificação, a classificação e o
tratamento dos riscos associados às contratações públicas. De forma complementar, deve-
se considerar, no mínimo, os seguintes riscos, específicos para contratação de software ou
serviços de computação em nuvem:
a) Volumetria da contratação incompatível com a realidade do órgão ou
entidade.
Descrição: Utilização de critérios não condizentes com a realidade do órgão ou
entidade para elaboração da análise de custo total de propriedade (TCO), levando a um
subdimensionamento ou superdimensionamento do quantitativo do objeto licitado, com
consequente necessidade de aditivos ou novas contratações e com possibilidade de
insuficiência de saldo contratual ou dano ao erário;
b) Não cumprimento dos níveis de serviços mínimos estabelecidos no Termo de
Referência.
Descrição: Entrega de uma solução com características de qualidade inferiores às
especificadas, levando ao não atendimento das necessidades de negócio, com consequente
prejuízo às atividades finalísticas do órgão e ao alcance dos resultados pretendidos com a
contratação;
c) Falhas na segurança da informação e privacidade da solução.
Descrição: Não observância dos padrões mínimos de segurança e privacidade da
informação, levando a problemas de disponibilidade, integridade, confidencialidade e
autenticidade, com consequente prejuízo às atividades finalísticas do órgão ou entidade e
ao alcance dos resultados pretendidos com a contratação;
d) Contratação de modelo licenciamento de software, de implantação ou de
prestação de serviços em nuvem que não atenda a necessidade do órgão ou entidade.
Descrição: Não observância dos requisitos de contratação, levando à escolha de
um modelo incompatível com a necessidade, com consequente prejuízo às atividades
finalísticas do órgão ou entidade, ao alcance dos resultados pretendidos com a contratação
e dano ao erário;
e) Atraso na entrega dos serviços contratados.
Descrição: Demora pela contratada em entregar o produto ou serviço
contratado, levando ao não atendimento das necessidades de negócio, com consequente
prejuízo às atividades finalísticas do órgão ou entidade e ao alcance dos resultados
pretendidos com a contratação;
f) Especificação incorreta dos modelos de licenciamento de software, de
implantação ou de prestação de serviços em nuvem.
Descrição: Especificação dos modelos fora dos padrões técnicos apropriados,
levando a um subdimensionamento ou superdimensionamento da capacidade dos serviços
com consequente prejuízo às atividades finalísticas do órgão ou entidade, ao alcance dos
resultados pretendidos com a contratação e dano ao erário;
g) Incompatibilidade do modelo de licenciamento de software, de implantação
ou de prestação de serviços em nuvem escolhido com outras soluções de TIC existentes no
órgão ou entidade.
Descrição: Contratação de um modelo de serviço sem levar em consideração
possíveis impactos na infraestrutura de TIC atual do órgão, levando ao não atendimento das
necessidades de negócio, com consequente prejuízo às atividades finalísticas do órgão ou
entidade e ao alcance dos resultados pretendidos com a contratação; e
h) Encerramento de chamados de forma prematura.
Descrição: Falha no controle que permita que a contratada encerre chamados
sem a efetiva finalização e comprovação de cumprimento dos níveis de serviço, levando a
prejuízo às atividades finalísticas do órgão ou entidade, com consequente prejuízo ao
alcance dos resultados pretendidos com a contratação e dano ao erário.
i) Não alinhamento da contratação às reais necessidades finalísticas do órgão ou
entidade.
Descrição: Risco de não alinhamento dos produtos e serviços de software e
nuvem a serem contratados às reais necessidades finalísticas do órgão ou entidade, levando
a prejuízo às atividades finalísticas do órgão ou entidade, com consequente prejuízo ao
alcance dos resultados pretendidos com a contratação e dano ao erário.
j) Baixa Resiliência da infraestrutura de TIC.
Descrição: Adoção de infraestruturas de TIC vulneráveis ou com fragilidades
estruturais ou de segurança que não observam as classes de disponibilidade e demais
requisitos constantes da ABNT NBR ISO/IEC 22.237-1:2023, levando a indisponibilidades dos
serviços mantidos pela infraestrutura, com consequente prejuízo aos serviços públicos
prestados, à segurança e à integridade dos dados mantidos.
k) Dependência aos fornecedores de nuvem (riscos na saída).
Descrição: Aumento da dependência dos recursos e serviços específicos de
determinado provedor de serviços de computação em nuvem, levando à necessidade de
prorrogações ou novas contratações específicas de determinado provedor com consequente
prejuízo à economicidade da contratações ou à indisponibilidade dos serviços em eventual
migração em um cenário de alta dependência tecnológica.

Fechar