MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO

Secretaria de Tecnologia da Informao

Departamento de Infraestrutura e Servios de Tecnologia da Informao

Boas prticas, orientaes e vedaes para contratao de Servios de Computao

em Nuvem

Considerando os avanos tecnolgicos, a computao em nuvem se tornou uma

realidade plenamente acessvel s organizaes, sendo mundialmente adotada por
empresas e rgos de governo. Dentre os benefcios da adoo deste modelo, destacamse: reduo de custos, elasticidade, reduo da ociosidade dos recursos, agilidade na
implantao de novos servios, foco nas atividades finalsticas do negcio e uso mais
inteligente da equipe de TI.
Em comparao aos proveitos da computao em nuvem, o uso de salas-cofre e salas
seguras torna-se dispendioso, com perda de escala e eficincia, alm de apresentar
maior complexidade de operao e manuteno de equipamentos.
1. Fica vedada a contratao de salas-cofre e salas seguras por rgos integrantes

do SISP.
i.

Solicitaes de excepcionalizao ao disposto no caput devero ser

submetidas pelo rgo, com as devidas justificativas, apreciao da
STI.

2. Compete autoridade mxima do rgo, com apoio do Comit de Governana

Digital, do Comit de Segurana da Informao e Comunicaes e do Comit

Estratgico de Tecnologia da Informao, a definio dos servios de
Tecnologia da Informao e Comunicao (TIC), no todo ou em parte, que
possam comprometer a segurana nacional, conforme os requisitos de
confidencialidade, integridade, disponibilidade e autenticidade das informaes
envolvidas, em conformidade com a IN N 01 GSI/PR/2008 e suas Normas
Complementares, e considerando os princpios de acesso informao e sua
imprescindibilidade segurana do Estado e da sociedade, dispostos pela Lei n
12.527, de 18 de novembro de 2011, Decretos n 7.724, de 16 de maio de 2012,
e n 7.845, de 14 de novembro de 2012, e outras legislaes especficas.
3. Para os casos de servios de TIC que no comprometam a segurana nacional,

incluindo Servios de TIC Prprios, recomenda-se aos rgos contratar

preferencialmente Nuvem Hbrida, como Modelo de Implantao, de fornecedor
pblico ou privado. Com isso, possvel valer-se dos benefcios dos modelos de
nuvem pblica (elasticidade e agilidade) e privada (desempenho garantido
devido ao recurso dedicado), e ao mesmo tempo minimizar os riscos e otimizar
os custos advindos de cada modelo.

4. Os rgos devero exigir, no momento da contratao de servios em nuvem de

fornecedores privados, que o ambiente do servio contratado esteja em

conformidade com a norma ABNT NBR ISO/IEC 27001:2013, sem prejuzo de
outras exigncias, objetivando mitigar riscos relativos segurana da
informao.
5. Para os casos de servios de TIC que possam comprometer a segurana

nacional, os rgos devem contratar servios de computao em nuvem com os

rgos ou entidades da Administrao Pblica Federal ou podem realizar
diretamente Servios de TIC Prprios.
i.

No caso dos Servios de TIC Prprios, quando comprometer a segurana

nacional, sua operao no poder ser compartilhada ou contratada de
terceiros.

6. A contratao de servios em nuvem dever respeitar a seguinte ordem de

prioridade, quanto a capacidade de servios que possa atender as necessidades

do contratante:
i.

Software como Servio (SaaS);

ii.

Plataforma como Servio (PaaS);

iii.

Infraestrutura como Servio (IaaS).

7. Os rgos que no possuem infraestrutura de TI prpria ou que necessitem

renov-la ou ampli-la devem contratar Infraestrutura como Servio (IaaS).

i.

A contratao direta de equipamentos de infraestrutura de TI, como por

exemplo, servidores e storages, somente poder ser feita mediante
justificativa aprovada previamente pela autoridade mxima do rgo ou
pelo Comit de Governana Digital, ou equivalente, caso esse tenha
delegao para tal.

8. Os rgos devero exigir, por meio de clusulas contratuais, em conformidade

com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informaes do
contratante residam exclusivamente em territrio nacional, incluindo replicao
e cpias de segurana (backups), de modo que o contratante disponha de todas
as garantias da legislao brasileira enquanto tomador do servio e responsvel
pela guarda das informaes armazenadas em nuvem.
9. Os rgos devero adotar o foro brasileiro para dirimir quaisquer questes
jurdicas relacionadas aos contratos firmados entre o contratante e o fornecedor
do servio.
10. Na contratao de servios em nuvem com empresas privadas os rgos devero

exigir disponibilidade de no mnimo, 99,749% para os data centers onde os

servios estaro hospedados, aceita a comprovao por meio de certificao TIA
942 TIER II.
11. Os rgos devero assegurar, por meio de clusulas contratuais, que o servio a

ser contratado permita a portabilidade de dados e aplicativos e que as

informaes do rgo contratante estejam disponveis para transferncia de

localizao, em prazo adequado e sem custo adicional, de modo a garantir a

continuidade do negcio e possibilitar a transio contratual.

12. Os rgos devero assegurar, quando aplicvel e por meio de clusulas

contratuais, que as informaes sob custdia do fornecedor sero tratadas como
informaes sigilosas, no podendo ser usadas por este fornecedor ou fornecidas
a terceiros, sob nenhuma hiptese, sem autorizao formal do contratante.

Glossrio

Computao em Nuvem
Computao em Nuvem um modelo que permite acesso ubquo, conveniente e sob
demanda, atravs da rede, a um conjunto compartilhado de recursos computacionais
configurveis (por exemplo: redes, servidores, armazenamento, aplicaes e servios),
que podem ser rapidamente provisionados e disponibilizados com o mnimo de esforo
de gerenciamento ou de interao com o provedor de servios.
Sala-cofre
A Sala Cofre um sistema modular composto por painis remontveis, para proteo
fsica de equipamentos de hardware, formando uma Sala dentro de Sala. Pode ser
montada com o data center em funcionamento, sendo possvel ampli-la ou mud-la
para outro local, conforme a necessidade do cliente, o que preserva o investimento
realizado. Para ser classificado como sala-cofre, o ambiente deve estar em
conformidade com as normas ABNT NBR 15247 (teste de fogo, calor e umidade; teste
de resistncia a desmoronamentos).
Sala segura
Possui todas as caractersticas de uma sala-cofre, exceto a certificao ABNT NBR
15247. No entanto, uma sala segura deve estar em conformidade com outras
certificaes internacionais equivalentes, como por exemplo, a EN 1363-1.
Modelos de Implantao
Nuvem Pblica
uma infraestrutura de nuvem que est disponvel para uso pblico e que reside nas
instalaes do provedor. Pode ser da prpria organizao ou operada por terceiros, ou
uma combinao. A infraestrutura fsica compartilhada. No entanto, h uma separao
lgica por cliente.
Nuvem Privada

A infraestrutura de nuvem privada est alocada para uso exclusivo de um nico cliente.
Sua utilizao, gerenciamento e operao podem ser feitos pelo cliente, em suas
dependncias ou nas do provedor. Alm disso, a nuvem privada tem sua flexibilidade
reduzida.
Nuvem Hbrida
Este tipo de nuvem uma composio de duas infraestruturas de nuvem (privada e
pblica), interligadas por tecnologias apropriadas que permitem portabilidade de
aplicaes e de dados entre as nuvens.
possvel utilizar essa abordagem para valer-se dos principais benefcios dos modelos
pblico (elasticidade) e privado (desempenho garantido devido ao recurso dedicado), e
ao mesmo tempo minimizar os riscos e otimizar os custos advindos de cada modelo,
sempre que existirem necessidades distintas associadas a determinados tipos de usurios
ou de dados.
Tipos de Capacidade (de acordo com a arquitetura dos servios disponibilizados
pela nuvem)
Infraestrutura como Servio - IaaS
o provisionamento pelo fornecedor de processamento, armazenamento, comunicao
de rede e outros recursos fundamentais de computao, nos quais o cliente pode instalar
e executar softwares em geral, incluindo sistemas operacionais (que pode vir instalado)
e aplicativos. O cliente no gerencia nem controla a infraestrutura subjacente da nuvem,
mas tem controle sobre o espao de armazenamento e aplicativos instalados.
Plataforma como Servio PaaS
Os recursos fornecidos so linguagens de programao, bibliotecas, servios e
ferramentas de suporte ao desenvolvimento de aplicaes, para que o cliente possa
implantar, na infraestrutura da nuvem, aplicativos criados ou adquiridos por ele. O
cliente no gerencia nem controla a infraestrutura subjacente da nuvem que so
fornecidos como IaaS (rede, servidores e armazenamento), mas tem controle sobre as
aplicaes implantadas e possivelmente sobre as configuraes do ambiente que as
hospeda.
Software como Servio - SaaS
Neste modelo, o cliente tem a possibilidade de utilizar aplicaes do provedor de
servios na infraestrutura de nuvem, que so acessveis de forma transparente
independente de dispositivo (desktops, tablets, smartphones, etc.). Essencialmente,
trata-se de uma forma de trabalho cuja aplicao oferecida como servio, eliminandose a necessidade de se adquirir licenas de uso e infraestrutura de TI (fornecida como
IaaS) para utiliz-la. O cliente gerencia apenas as configuraes dos aplicativos,
especficas do usurio;
Portabilidade

Capacidade que permite s aplicaes e dados operarem em qualquer modelo de nuvem,

ofertados por fornecedores distintos, sem a necessidade de reescrever cdigos de
aplicaes, converter bancos de dados, alimentar os sistemas com informaes dos
usurios ou mesmo alterar caractersticas das aplicaes.
Elasticidade
Permite aumentar ou reduzir de forma simples e dinmica, sem interrupes e em tempo
de execuo, a quantidade de recursos computacionais utilizados, suprindo, desta forma,
momentos de picos de demanda.
Confidencialidade
Propriedade que limita o acesso informao somente s entidades autorizadas pelo
proprietrio da informao.
Integridade
Propriedade que assegura que a informao manipulada mantm todas as caractersticas
originais estabelecidas pelo proprietrio da informao.
Disponibilidade
Propriedade que garante que a informao esteja sempre disponvel para o uso dos
usurios autorizados pelo proprietrio da informao.
Autenticidade
Propriedade que garante que a informao provm da fonte anunciada e que no foi
alterada no decorrer de um processo.
Servios de TI Prprios
Caracteriza-se Servio de Tecnologia da Informao prprio quando o rgo realiza,
diretamente e por meios prprios, a gesto e a administrao desse servio, visando
garantir segurana e auditabilidade da informao e comunicao.
Classificao de data centers em Tiers de acordo com a norma TIA 942
A classificao Tier adotada em data centers foi desenvolvida pelo Uptime Institute, nos
EUA, usada desde 1995 e tem reconhecimento mundial. Os nveis de disponibilidade
associados s classificaes Tier foram determinados por meio de resultados de anlises
de disponibilidade de data centers reais.
Tier I
Data center bsico que possui componentes internos no redundantes e uma rota de
alimentao externa (energia e conexo de dados) no redundante servindo ao ambiente
crtico. A infraestrutura Tier I inclui um espao dedicado para os sistemas de TI; um

sistema UPS (no-break) para lidar com falhas momentneas no fornecimento de

energia; um equipamento dedicado de refrigerao e um sistema gerador para proteger
as funes de TI de falhas prolongadas no fornecimento de energia. A disponibilidade
para o Tier I de 99,671%.
Tier II
Data center Tier II possui componentes internos redundantes e uma rota de distribuio
de alimentao externa (energia e conexo de dados) no redundante servindo ao
ambiente crtico. Os componentes redundantes so: geradores, sistemas UPS (nobreak), sistemas de refrigerao e tanques de combustvel. Esses componentes podem
ter seu funcionamento interrompido, seguindo um plano de manuteno, por exemplo,
sem a necessidade de desligar qualquer um dos equipamentos crticos de TI. A
disponibilidade para o Tier II de 99,741%.
Tier III
Data center paralelamente sustentvel que possui componentes de capacidade
redundantes e mltiplas rotas independentes de distribuio (energia e conexo de
dados) que servem o ambiente crtico. Apenas uma rota de distribuio necessria para
servir o ambiente crtico em qualquer momento. Qualquer componente nas rotas de
distribuio pode ser interrompido sem impactar qualquer equipamento do ambiente
crtico. A disponibilidade para o Tier III de 99,982%.
Tier IV
Data center tolerante a falhas composto por vrios sistemas fisicamente independentes e
isolados, componentes redundantes e mltiplas rotas independentes de alimentao
(energia e conexo de dados) ativas simultaneamente, servindo ao ambiente crtico.
Sistemas complementares e rotas de distribuio devem estar fisicamente isolados um
do outro (compartimentalizados) para prevenir qualquer tipo de incidente de impactar
simultaneamente os sistemas ou as demais rotas de distribuio / alimentao. A
disponibilidade para o Tier IV de 99,99%.

Fontes
Acrdo 1739/2015-TCU-Plenrio.
National Institute of Standards and Technology NIST.
NC 14 14/IN01/DSIC/GSIPR
Uptime Institute Professional Services Data Center Site Infrastructure Tier Standard.