DOU 31/10/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023103100053
53
Nº 207, terça-feira, 31 de outubro de 2023
ISSN 1677-7042
Seção 1
l) Ocorrência de sanções comerciais nos países em que se localizam as
infraestruturas de TIC que mantêm os serviços de computação em nuvem ou subscrição de
software.
Descrição: Eventual sanção comercial entre países em que se encontram as
infraestruturas de TIC que sustentam os serviços de computação em nuvem ou as
subscrições do software contratado levando à indisponibilidade dos dados mantidos ou dos
serviços contratados, independentemente da aplicação das sanções contratuais previstas
sobre a contratada, com consequente prejuízo à prestação dos serviços públicos.
m) Não observância de restrições legais quanto às informações sujeitas a sigilo.
Descrição: Manter informações sujeitas a diferentes tipos de sigilo com previsão
legal em ambientes de TIC não autorizados legalmente, levanto à ofensa ao principio da
legalidade com consequente exposição de informações sigilosas a situações de
vulnerabilidade a acesso não autorizado ou à indisponibilidade de acesso.
n) Perda do controle ou da governança sobre as informações mantidas em
ambiente de nuvem.
Descrição: A dependência dos serviços de computação em nuvem ou de
utilização de software sob o regime de subscrição pode resultar na perda do controle do
órgão sobre as informações armazenadas no provedor de nuvem ou mantidas em software
sob regime de subscrição, levando a um aumento da fragilidade na prestação dos serviços
com consequente prejuízo à disponibilidade, integridade, segurança das informações
mantidas em ambiente de nuvem ou em software sob subscrição.
o) Não padronização dos serviços em cenário de multicloud.
Descrição: A diferença entre produtos entre os provedores de serviços em
nuvem pode dificultar a padronização dos serviços utilizados pela área de TIC do órgão ou
entidade, levando a oscilações na qualidade dos serviços prestados e dificuldade de
migração dos serviços entre provedores, com consequente queda na qualidade dos serviços
públicos mantidos na infraestrutura de TIC.
p) Migração de aplicação para ambiente ou para provedor que não ofereça os
recursos mais adequados à otimização do uso de recursos com a aplicação.
Descrição: Migrar aplicações para provedores que não possuam os recursos de
otimização mais adequados à aplicação, levando a aumento do consumo ou redução do
desempenho com consequente prejuízo ao erário e prejuízo à qualidade do serviço
público.
q) Aumento de custos de cargas de trabalho não distribuídas entre provedores
de forma eficiente e otimizada.
Descrição: Distribuição de cargas de trabalho não planejadas ou não otimizadas
em termos de custos entre diferentes provedores levando a um consumo elevado de
recursos com consequente gasto ineficiente de recursos públicos.
r) Redução da competitividade em longo prazo.
Descrição: Mudanças no mercado de provedores de computação em nuvem
podem reduzir a competitividade, levando à dificuldade na continuidade da contração de
determinados provedores com consequente necessidade de alteração constante, implicando
em maior chance de indisponibilidade.
s) Redução ou ausência de recursos humanos especializados.
Descrição: Quantidade reduzidas de técnicos especializados em determinado
provedor levando a aumento dos custos de gerenciamento e operação dos recursos em
nuvem com consequente prejuízo ao erário.
t) Redução da quantidade de cloud brokers especializados em determinado
provedor.
Descrição: A redução do marketshare de determinado provedor ou de sua
penetração no mercado brasileiro pode implicar na redução da cadeia de revendas e na
quantidade de cloud brokers levando à redução da competição e, por conseguinte, aumento
dos custos e da dependência a grupo restrito de cloud brokers.
u) Descontinuidade dos serviços ou mudanças dos recursos tecnológicos a longo
prazo.
Descrição: Os
recursos tecnológico remotos podem
sofrer mudanças
significativas ou até mesmo descontinuidade dos produtos levando a aumento de custos
para migração ou adaptação às mudanças com consequente possibilidade de interrupção
dos serviços e aumento não previstos de gastos.
24. DA TRANSIÇÃO E ENCERRAMENTO CONTRATUAL
24.1. O órgão ou entidade deve estabelecer procedimento relacionado à
transição
e
encerramento
contratual,
incluindo,
no
mínimo,
a
obrigação
do
integrador/provedor em efetuar a devolução dos dados, informações e sistemas à
contratante, a eliminação de dados, a retenção de dados conforme legislação e a garantia
ao direito ao esquecimento para os dados pessoais.
25. DA GOVERNANÇA DA CONTRATAÇÃO DOS SERVIÇOS DE COMPUTAÇÃO EM NUVEM
25.1. Na contratação de serviços de computação em nuvem via integrador (cloud
broker), deve-se assegurar que todo serviço de computação em nuvem seja fornecido com
agregação de valor por parte do cloud broker, ou seja, a contratação via cloud broker
pressupõe dois modelos de compartilhamento de responsabilidades:
a) totalmente gerenciado pelo cloud broker; e
b) parcialmente gerenciado pelo cloud broker.
25.2. Os modelos
de compartilhamento de responsabilidades
não são
excludentes entre si, pois a critério do órgão ou entidade, admite-se que determinadas
cargas de trabalho operem em um modelo totalmente gerenciado, enquanto outras cargas
de trabalho operem em um modelo parcialmente gerenciado.
25.3. Nas contratações de serviços multinuvem o cloud broker deverá atuar
como integrador dos serviços de computação em nuvem entre o órgão ou a entidade,
conforme estabelecido no art. 21 da IN GSI/PR nº 5, de 2021.
25.4. Para se definir os limites dos modelos de compartilhamento de
responsabilidades, deve-se estabelecer no Termo de Referência uma matriz de
responsabilidades capaz de identificar, controlar e assegurar as responsabilidades na relação
entre o cloud broker e o órgão ou entidade contratante, identificando-se o ator e o
respectivo papel ou função.
25.5. A matriz de responsabilidades, cujo modelo consta no ANEXO IV, deve
incluir um registro formal sobre o uso de serviços de computação em nuvem no órgão ou
entidade, contendo, a exemplo, as seguintes informações:
a) a função na prestação dos serviços;
b) o responsável pelos serviços (órgão/entidade ou cloud broker); e
c) nível de responsabilidade.
25.6. Deve-se prever no Termo de referência com condição necessária para
assinatura do contrato, instrumento contratual assessório que assegure o regime de
compartilhamento de responsabilidades entre broker e respectivo Provedor de Nuvem, a
exemplo do modelo de Termo de Compartilhamento de responsabilidades de Serviços de
Computação em nuvem (Anexo VIII).
26. DIRETRIZES PARA A GESTÃO DE CONTRATOS DE SOFTWARE E DE SERVIÇOS
DE COMPUTAÇÃO EM NUVEM
26.1. Toda emissão de ordem de serviço deverá ser precedida de levantamento
da demanda real dos volumes de bens ou serviços a constar da ordem de serviços,
considerando as atuais necessidades de negócio e eventuais riscos inerentes à prestação dos
serviços finalísticos do órgão ou entidade e observando os limites previstos no contrato.
26.2. Os fiscais técnicos devem manter nos autos dos processos administrativos
de fiscalização do contrato todas as evidências de modo a conter as informações suficientes
que permitam a verificação posterior do que foi pago e do que foi utilizado.
26.3. Os volumes de bens e serviços a constar de toda ordem de serviço devem
ser precedidos de levantamentos, estimativas e cálculos que justifiquem a real demanda
associada às cargas de trabalho a serem implementadas ou mantidas, considerando, sempre
que possível, o padrão de atividade do negócio, eventuais picos de consumo ou
sazonalidades relacionadas aos requisitos de negócio e riscos inerentes às atividades
finalísticas associadas aos objetivos da ordem de serviço.
26.4. Nas contratações de serviços de computação em nuvem, a equipe de
fiscalização e o gestor do contrato devem assegurar que os períodos de reserva de recursos
não excedam o período de vigência contratual.
27. DISPOSIÇÕES FINAIS
27.1. O presente modelo substitui o Guia de Boas Práticas, Orientações e
Vedações Para Contratação de Serviços de Computação em Nuvem, e deve ser observado
nos planejamentos da contratação iniciados após a sua publicação, sendo facultativo a sua
adoção para os processos cujo planejamento da contratação tenha se iniciado antes de sua
publicação ou para os casos de prorrogação de contratos anteriores.
ANEXO II
MODELO DE DOCUMENTO DE ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS
DE COMPUTAÇÃO EM NUVEM
DISPOSIÇÕES GERAIS
<Nesta seção podem constar considerações iniciais e gerais sobre o escopo do
documento.>
OBJETIVOS E COMPETÊNCIAS
<Nesta seção pode constar a identificação dos objetivos a serem alcançados na
adoção da estratégia de uso de software e de serviços de computação em nuvem, além da
identificação das áreas e respectivas competências relacionadas à implementação da
estratégia.>
DIRETRIZES PARA DEFINIÇÃO DA ESTRATÉGIA DE USO DE SOFTWARE E DE
SERVIÇOS DE COMPUTAÇÃO EM NUVEM
<Nesta seção podem constar as principais diretrizes que orientarão a utilização
dos serviços de software e de computação em nuvem pelo órgão ou entidade.
Os seguintes aspectos podem ser considerados na definição das diretrizes de
uma estratégia para o uso de software e de serviços de computação em nuvem:
a) Identificação das necessidades do negócio: é necessário identificar e avaliar as
necessidades de negócio antes da contratação de software e de serviços de computação em
nuvem. Deve-se determinar quais sistemas, aplicações, dados e serviços precisam ser
movidos para a nuvem, como eles serão acessados e quais recursos computacionais e de
armazenamento serão necessários;
b) Seleção dos modelos adequados: é necessário avaliar quais modelos de
serviço (IaaS, PaaS, SaaS) e de implementação (nuvem pública, nuvem privada, nuvem
híbrida etc.) melhor se adequam aos requisitos de negócio. Caso o órgão ou entidade não
possua maturidade suficiente na contratação de serviços em nuvem ou possua
impedimentos técnicos ou normativos para migração de alguns workloads, é recomendável
sempre dar preferência à adoção de uma abordagem estratégica de nuvem híbrida. Caso o
órgão possua maturidade e já tenha concluído que a demanda prevista pode ser atendida
integralmente por meio de serviços em nuvem, uma abordagem completa, incluindo as
demandas de migração do ambiente on-premises para a nuvem pode ser adotada;
c) Avaliação dos possíveis fornecedores: os estudos técnicos preliminares devem
abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos requisitos
de negócio, de forma a garantir que exista uma quantidade mínima de fornecedores com
experiência e que atendam aos requisitos necessários ao atendimento da demanda. Fatores
como segurança, conformidade, disponibilidade e suporte técnico devem ser considerados
nessa avaliação;
d) Definição de requisitos de segurança: deve-se determinar quais requisitos de
segurança são importantes ou mandatórios para o negócio e deve ser avaliado, quando for
o caso, como cada possível fabricante ou fornecedor atende a esses requisitos;
e) Estabelecimento de uma política de governança: deve-se assegurar que a
política de governança do órgão ou entidade abranja a identificação e classificação de
dados, controle de acesso, gerenciamento de configuração e, quando for o caso,
monitoramento das atividades em nuvem, de modo a garantir que os serviços a serem
contratados sejam executados em conformidade com os padrões adotados pelo órgão ou
entidade;
f) Diretrizes de uso seguro de software e de serviços de computação em nuvem:
o órgão ou entidade deve conhecer os normativos que versam sobre segurança da
informação e sobre o tratamento de informações em nuvem, bem como identificar, sob
essa perspectiva, quais os sistemas ou workloads que podem ser migrados, assim como as
medidas de gerenciamento de risco a serem adotadas para resguardar as informações
sigilosas que eventualmente serão tratadas em ambiente de nuvem;
g) Avaliação quanto às condições mínimas de infraestrutura de TIC do órgão ou
entidade para utilizar serviços de computação em nuvem, a exemplo de conexão estável
com a Internet e com banda suficiente;
h) Definição de diretrizes de governança para o uso da nuvem, com papéis e
responsabilidades dos atores organizacionais (da TI, das áreas de negócio e da nuvem);
i) Estabelecimento dos princípios norteadores da estratégia (ex.: cloud first,
liftand-shift como último recurso, uso de broker multicloud etc.);
j) Alinhamento com outros planos estratégicos, a exemplo do Plano Estratégico
Institucional (PEI), Plano Estratégico de TI (PETI), Plano Diretor de Tecnologia da Informação
e Comunicação (PDTIC), Plano de Contratações Anual (PCA), Planos de Segurança da
Informação, etc.;
k) Estabelecimento de linhas de base e metas de benefícios/resultados
esperados, a exemplo de mapeamento "AS IS" e "TO BE", objetivando maior agilidade,
redução de custos, resiliência, mais segurança etc.);
l) Considerações sobre capacitação da equipe do órgão ou entidade que
gerenciará, operará ou utilizará os recursos de software e de computação de serviços em
nuvem, identificando as capacidades e habilidades necessárias;
m) Considerações sobre portabilidade e interoperabilidade entre sistemas,
dados e serviços, bem como a viabilidade de adoção de medidas para mitigar a dependência
tecnológica ou aprisionamento ao provedor;
n) Requisitos regulatórios e de conformidade;
o) Indicação da Estratégia de Saída, considerando a análise de dependências e
aspectos de portabilidade, (backup, redundância, contratos de apoio, retorno para a
infraestrutura local etc.); e
p) Análise de riscos, considerando as diretrizes de gerenciamento de riscos
constantes deste modelo.>
DEFINIÇÃO DOS REQUISITOS PARA O USO SEGURO DE COMPUTAÇÃO EM NUVEM
<Nesta seção podem ser descritos os aspectos dispostos na Instrução Normativa
GSI/PR nº 5, de 30 de agosto de 2021.>
A S S I N AT U R A S
<O documento deve ser assinado por membros do Comitê de Governança Digital
ou instância equivalente ou superior do órgão ou entidade.>
Fechar