UNIP INTERATIVA

Projeto Integrado Multidisciplinar V

Curso Superior de Gestão de Tecnologia da Informação

PROJETO CARTÃO DE IDENTIFICAÇÃO DIGITAL

Prefeitura do Município de Curitiba

POLO FERNÃO GAIVOTA

2010
 UNIP INTERATIVA
Projeto Integrado Multidisciplinar V
Curso Superior de Gestão de Tecnologia da Informação

PROJETO CARTÃO DE IDENTIFICAÇÃO DIGITAL

Prefeitura do Município de Curitiba

Paulo Joaquim do Canto

RA: 0906384

Curso Gestão de Tecnologia da Informação

Semestre: 3º

POLO FERNÃO GAIVOTA

2010
Resumo

Curitiba possui uma população estimada de 1.828.092 habitantes, de acordo

com levantamento do IBGE (01/07/2008). Para facilitar a vida dos moradores da
cidade, a Prefeitura do Município de Curitiba, pretende ser a primeira a utilizar um
cartão de Identificação digital (CID), onde constem informações de diversos
documentos pessoais e que possua um certificado digital, tornando-o um documento
válido em todo o território nacional.

Além de substituir os outros documentos, o cartão poderá ser utilizado em

diversos setores da Prefeitura, ou através da Internet, para pagamento de taxas e
impostos, consultas e outras informações.

Para que isso seja possível, foi elaborado um projeto de rede e banco de
dados com o objetivo de recadastrar todos os cidadãos, agilizando os processos de
identificação.

Os dados deverão ser protegidos, confiáveis, e para isso deverão ser

controlados por um equipamento que irá gerar as chaves públicas e privadas de
cada cidadão.

Palavra-chave: identificação digital, chaves públicas e privadas.

Abstract

Curitiba boasts a population of 1,828,092 inhabitants, according to IBGE

survey (01/07/2008). To make life easier for city dwellers, the Municipality of Curitiba,
aims to be the first to use a digital identification card (CID), which included
information from various personal documents and possessing a digital certificate,
making it a document valid throughout the national territory.

Besides replacing the other documents, the card can be used in various
sectors of City Hall, or the internet, for payment of fees and taxes, consultations and
other information.

To make this possible, we designed a network design and database in order to

re-register all citizens, accelerating the processes of identification.

The data should be protected, reliable, and it should be controlled by a device

that will generate public and private keys of every citizen.

Keyword: Digital Identification, public keys and private.

Sumário

1. A Importância da criptografia.................................................................................07

2. Autoridade Certificadora........................................................................................08

3. Autoridade de Registro...........................................................................................09

4. O Cartão de Identificação Digital (CID)..................................................................10

5. Descrição da Topologia do Sistema.......................................................................15

6. Infraestrutura necessária........................................................................................17

7. Metodologia de Implantação..................................................................................20

8. Fases do Projeto....................................................................................................21

9. Política de Segurança............................................................................................22

9.1. Segurança Física .....................................................................................23

9.2. Usuários....................................................................................................24

9.2.1. Utilização dos recursos de Tecnologia da Informação pelos funcioná-

rios......................................................................................................24

9.2.2. Transgressões graves........................................................................26

9.2.3. Monitoramento....................................................................................26

9.3. Conduta do Profissional do Departamento de Tecnologia da Informação

Critério para Aplicação de Medidas Disciplinares....................................28

10. Datacenters..........................................................................................................28

11. Formação dos Profissionais envolvidos no Projeto..............................................31

11.1. Serviços a serem realizados no desenvolvimento de soluções.............31

11.1.1. Consultoria em Gestão de TI....................................................31

11.1.2. Levantamento de necessidades...............................................31

 11.1.3. Especificações de Sistemas.....................................................31

11.1.4. Especificações de Ambiente/Serviço........................................32

11.1.5. Desenvolvimento de Sistemas..................................................32

11.1.6. Homologação de Sistemas.......................................................32

11.1.7. Implementação de Ambiente/Serviço.......................................33

11.1.8. Treinamento de Funcionários...................................................33

11.1.9. Implantação de Sistemas..........................................................34

11.2. Serviços a serem realizados no suporte a disponibilidade.....................34

11.2.1. Gerência de Suporte Técnico e Rede.......................................34

11.2.2. Análise de Suporte de Software................................................35

11.2.3. Serviço de Suporte Técnico de Software..................................36

11.2.4. Serviço de Suporte Técnico de Rede.......................................36

11.2.5. Serviço de Suporte Técnico de Hardware................................36

11.2.6. Serviço de Operação de Rede..................................................37

11.2.7. Serviço de atendimento técnico ao usuário..............................38

12. Conclusão............................................................................................................39
13. Legislação............................................................................................................40
14. Referências..........................................................................................................44
 7

1. A Importância da criptografia
A preocupação com a segurança dos dados é antiga. Os romanos já
utilizavam códigos secretos para comunicar planos de batalha. A criptografia foi
muito utilizada na Segunda Guerra Mundial, para comunicar planos de ação,
posicionamento de tropas e trocar mensagens entre altas patentes. Mas foi só com a
invenção do computador que a criptografia mostrou todo seu poder, utilizando-se de
complexos algoritmos matemáticos para geração de seus códigos.
Existem basicamente dois tipos de criptografia: A simétrica e assimétrica.
A criptografia simétrica é a mais simples. Você tem uma chave criptográfica e
um algoritmo de criptografia. Você aplica a criptografia utilizando a chave e tem
como resultado os dados embaralhados. Para executar a operação inversa, será
obrigatoriamente necessário conhecer a chave utilizada.
Se alguém desejar lhe enviar uma mensagem confidencial, e criptar os dados
para evitar o acesso alheio, necessariamente este alguém terá também que lhe
enviar a chave criptográfica utilizada. Se por algum motivo alguém indesejado
obtiver acesso a chave, terá também acesso a mensagem.
Na criptografia assimétrica é diferente, ela trabalha com dois tipos de chaves:
a pública e a privativa, estas duas chaves estão relacionadas matematicamente. Se
alguém, de posse de sua chave publica criptar algum dado, estes poderão ser
revertidos apenas com sua chave privada. Fica evidente que a sua chave pública
pode ser distribuída livremente e que sua chave privativa deve ser mantida no mais
absoluto segredo.
Voltando ao caso da transmissão da mensagem confidencial. Você distribui
sua chave pública e pede que o transmissor embaralhe os dados utilizando a
mesma. Se alguém interceptar a mensagem não vai conseguir decifrá-la, mesmo de
posse de sua chave publica.
Outro tipo de criptografia importante é geração de hash, ou digest, que nada
mais é do que uma forma de criptografia simétrica. Um algoritmo hash gera um
conjunto de caracteres de tamanho sempre fixo, não importa a quantidade de
informação que foi aplicado ao algoritmo. Outra característica do hash é que ele é
irreversível, ou seja, mesmo de posse do resultado, da chave criptográfica e do
algoritmo utilizado, você não consegue chegar até a informação original. Mas qual a
utilidade disto? Muitas! Imagine um aplicativo qualquer que tem que armazenar
 8

senhas em um banco de dados. O usuário informa a senha, é aplicado um hash

sobre a mesma e o resultado é armazenado. No próximo login, o usuário novamente
informa a senha, o algoritmo hash é aplicado sobre a mesma e o resultado é
comparado com a informação armazenada no banco de dados. Se as duas
informações coincidirem, a senha informada esta correta. A vantagem é que
ninguém, nem mesmo o dono do sistema, será capaz de roubar alguma senha. Por
outro lado se o próprio usuário esquecer ou perder a senha terá que gerar outra.
Hoje em dia muito se fala em assinatura digital. Alguns softwares utilizam
algum tipo de algoritmo hash para gerar a assinatura. Como um algoritmo hash é
uma forma de criptografia simétrica, sabemos que a chave criptográfica foi utilizada
pelo software, ou pelo menos o software teve conhecimento da chave utilizada, isto
torna a assinatura dúbia, não há garantias que o “dono” da assinatura é realmente
quem imaginamos ser. Porém, se a assinatura utiliza criptografia assimétrica, o
algoritmo utilizou a chave privada do usuário, do qual o sistema não teve acesso.
Em outras palavras, é inegável que somente o portador da chave privativa, e
somente ele, poderia ter gerado aquela assinatura.
Como a criptografia assimétrica é possível? Bom, isto é possível através da
dificuldade de fatoração de números primos grandes. A palavra impossível talvez
não esteja correta, mas a quantidade de processamento necessária para quebrar
essa criptografia seria algo inimaginável.
Função criptográfica de hash a ser adotada:
SHA-256 (disponível no JDK) gera um hash de 256 bits (32 bytes), que
convertidos para hexadecimal dão 64 caracteres, e convertidos para base-64 dão 44
caracteres. Apesar de ser o método mais seguro, caso o usuário esqueça a senha,
é necessário gerar outra e enviá-la por e-mail ou fazer uma nova nas centrais de
atendimento.
2. Autoridade Certificadora
Quando ouvimos falar em SSL, certificados digitais, e-cpf, https, a proteção no
navegador etc., tudo isso esta baseado na Infraestrutura de chaves publicas. O
ponto central de certificado digital é a Autoridade Certificadora, ou AC. Qualquer um
pode montar sua própria AC em um Servidor Windows 2003, por exemplo, e
começar a emitir certificados digitais para quem quiser. Mas isso terá alguma
validade? Depende, validade pra quem?
 9

Da mesma maneira, nada impede que a empresa crie uma autoridade

certificadora autônoma para emitir certificados para seus funcionários e estes o
utilizem para assinar documento ou para efetuar login na rede. Neste caso, esta
autoridade certificadora autônoma é confiável dentro do “universo” da empresa.
A autoridade certificadora deve ser confiável entre as partes envolvidas no
processo.
Uma AC pode ser subordinada a outras, numa relação de confiança. A
primeira AC de uma cadeia é chamada de AC raiz. Podem existir ainda as
autoridades de registros, que ficam responsáveis pelo contato com o usuário final,
cuidando da parte burocrática da emissão de certificados.
Quem regulamenta a infraestrutura de chave publica no Brasil é a ICP Brasil,
órgão subordinado ao ITI (http://www.iti.gov.br).
Um certificado de servidor confiável significa que foi emitido por uma
Autoridade Certificadora de confiança, o seu browser tem uma relação de AC da
qual ele confia.
Devemos ter cuidado ao confiar em outras ACs. Ao instalar o certificado
emitido por um site que seja emitido por uma AC não confiável, ou se houver algum
problema com o certificado (expirado, por exemplo), seu navegador vai alertá-lo.
Sugerimos que a Autoridade Certificadora deva ser terceirizada, habilitada
pela Receita Federal, através de licitação pública, de acordo com o artigo 7º da Lei
8.666 de 21 de junho de 1993.

3. Autoridade de Registro
Uma Autoridade de Registro (AR) provê uma interface entre um usuário e
uma AC. Ela é responsável por conferir as informações do usuário e enviar a
requisição do certificado para a AC. A qualidade do processo de conferência das
informações determina o nível de confiança que deve ser atribuído ao certificado.
Cabe a Prefeitura definir se as Autoridades de Registro serão funcionários
que já fazem parte da Administração, que serão treinados, ou se haverá uma nova
contratação, necessitando assim de concurso público.
Exigência e Fundamento legal:
Todos os empregados, necessários à proteção dos ativos das entidades
participantes da ICP-Brasil devem ser submetidos à pesquisa do histórico de sua
 10

vida pública; entrevista de admissão, realizada por profissional qualificado; avaliação

psicológica, realizada por profissional qualificado e avaliação periódica de
desempenho da função, a ser realizada pela sua chefia imediata.

4. O Cartão de Identificação Digital (CID)

O CID será um documento produzido pela Prefeitura do Município de Curitiba,
com Certificação Digital, válida no município, podendo se estender por todo o país.
Ele substituirá os demais documentos do cidadão, valendo como documento oficial.
O munícipe interessado em obter o Cartão de Identificação Digital (CID)
deverá comparecer aos postos de atendimento da Prefeitura do Município de
Curitiba, apresentando os seguintes documentos:
Carteira de Identidade ou Passaporte (caso seja estrangeiro);
CPF;
Título de Eleitor;
CNH (opcional);
Comprovante de residência no município – recente (últimos 3 meses);
Foto colorida (3X4) recente.
A Autoridade de Registro (AR), funcionário da própria Prefeitura, será
responsável por atender os interessados em adquirir certificados, coletar os
documentos para encaminhá-los às Autoridades Certificadoras (ACs), responsáveis
pela emissão.
Em relação aos benefícios do projeto, órgãos governamentais, como INSS,
Tribunal Superior Eleitoral, Receita Federal, bancos, comércio e população em geral
terão grande economia pela redução de fraudes, porque o cartão CID terá um
código impresso digitalmente e um chip com características de segurança moderna.
Um grande benefício será constatado em serviços públicos, os quais poderão ter a
garantia que estão tratando com a pessoa que se diz ser.
A seguir veremos o fluxograma de geração das chaves públicas e privadas ao
fazer o cadastramento dos documentos e o credenciamento para a criação do CID.
11
 12

Vale lembrar que os softwares necessários para geração das chaves públicas
e privadas serão de responsabilidade dos profissionais da ICP-Brasil, garantindo a
confiabilidade dos mesmos. De acordo com a Medida Provisória 2.200-2, o
certificado deve ser emitido por uma das instituições autorizadas pela ICP Brasil, a
menos que acordada entre as partes de uma transação, o uso de outra AC qualquer.
A AC tem um papel básico de garantir a correspondência entre a identidade e
a chave pública de uma determinada entidade, sabendo que tal chave pública
corresponde a uma chave privada que permanece sob guarda exclusiva dessa
entidade.
Para tanto, a AC deve ser capaz de realizar todos os processos de emissão
de certificados, verificação de validade, armazenamento, publicação ou acesso on-
line, revogação e arquivamento para verificação futura. Em consequência, uma
autoridade certificadora constitui-se de um sistema computacional completo, com
capacidade de comunicação, processamento e armazenamento. Além disso, tanto
as comunicações envolvendo esse sistema, assim como o próprio sistema, devem
ser também protegidos e a própria identidade do sistema deve ser garantida,
necessidade esta que são atendidas por intermédio da publicação de uma chave
pública pertencente à própria autoridade certificadora. Como tal chave deve também
ser garantida com um certificado digital, então, em geral, uma autoridade
certificadora deposita sua chave pública junto a outra autoridade certificadora,
formando uma estrutura de certificação onde algumas AC funcionam como
autoridades certificadoras para outras ACs.
Tipos e Níveis de Certificado.
Dentro das normas da ICP-BRASIL existem 2 (dois) tipos de certificado: Assinatura e
Sigilo e cada um deles possui 4 níveis que são os seguintes:
De Assinatura:
A1: Chave criptográfica de 1024 bits gerada por software válida por 1 ano
A2: Chave criptográfica de 1024 bits gerada por hardware válida por 2 anos
A3: Chave criptográfica de 1024 bits gerada por hardware válida por 3 anos
A4: Chave criptográfica de 2048 bits gerada por hardware válida por 3 anos

De Sigilo:
S1: Chave criptográfica de 1024 bits gerada por software válida por 1 ano
 13

S2: Chave criptográfica de 1024 bits gerada por hardware válida por 2 anos
S3: Chave criptográfica de 1024 bits gerada por hardware válida por 3 anos
S4: Chave criptográfica de 2048 bits gerada por hardware válida por 3 anos
A avaliação e determinação de qual tipo e nível que será utilizado cabem ao analista
responsável pela aplicação, para isso, existe o curso de Nivelamento Teórico que
capacita o analista a ter o conhecimento necessário para desempenhar está tarefa.
Será gerado um cartão inteligente, feito de plástico semi-rígido e medindo
8,5cm x 5,4cm. Na frente do cartão constarão o Nome, o número do CPF, CNH e
Título de Eleitor do titular, o chip criptográfico (smart-card ID-1) onde estão
armazenados os dados do titular e a chave privada associada àquele certificado, e o
logo da autoridade certificadora no verso, conforme modelo a seguir.

O chip criptográfico será de acordo com o Padrão EMV. Esse padrão é

utilizado por diversos sistemas de pagamento mundiais (Europay, Mastercard e
Visa).
O padrão EMV define os requisitos mínimos de segurança, mas deixa os
circuitos livre de estabelecer parâmetros adicionais de segurança. Os quatro
elementos básicos de segurança são:
Autenticação do cartão off-line. Ou seja o terminal deve identificar o cartão
como genuíno sem ter que se conectar com o sistema.
 14

Parâmetros de gestão do risco. O cartão grava todas as transações e emite

um alarme caso se verifiquem determinadas condições.
PIN off-line. Os cartões com Chip podem armazenar dados de forma segura e
sigilosa, permitindo que a verificação do PIN (Número de Identificação Pessoal ou
Senha do cartão) possa ser feita internamente sem necessidade de conexão com o
sistema.
Autenticação on-line. Quando necessário ou de forma casual pode ser feita
uma verificação on-line do cartão através de conexão junto ao sistema.
A Prefeitura do Município de Curitiba implantou em vários pontos da cidade,
os totens multimídia, onde cidadãos podem ter acesso às informações necessárias,
podendo assim utilizar o CID para facilitar a consulta ao Banco de Dados.
A utilização do CID facilitará o acesso aos serviços dos setores da Prefeitura
Municipal de Curitiba, envolvendo os sistemas abaixo relacionados:
a) Protocolo;
b) Contabilidade;
c) Tesouraria;
d) Arrecadação;
e) Controle de Débito Automático;
f) Arrecadação de Multas de Trânsito;
g) Emissão e controle de guias de Tributos e Taxas;
h) Manutenção do Cadastro de Logradouros;
i) Emissão de segunda via de Tributos e Taxas;
j) Ajuizamento de Tributos e Taxas;
k) Administração dos Tributos Municipais (IPTU, ISS, ITBI, TAXAS),
compreendendo, dentre outros serviços:
I. Cadastramento de contribuintes e Georeferenciamento;
II. Emissão de guias de recolhimento, inclusive via internet;
III. Cobrança e Parcelamento de Débito;
IV. Solicitação de Serviços Municipais;
V. Notificação e Intimação Fiscal;
VI. Agendamento de consultas nos postos de saúde;
VII. Matrícula escolar;
VIII. Inscrição em Dívida Ativa;
 15

IX. Consulta de processo via internet;

X. Emissão de Certidão Negativa e Positiva de Débito; e
XI. Simples Nacional.

5. Descrição da Topologia do Sistema

O acesso as informações do sistema será realizado de maneira a atender a
dois grupos de usuários: o interno e o externo.
O usuário interno inclui os funcionários das Secretarias da Prefeitura do
Município de Curitiba.
O usuário externo inclui todos os munícipes e demais interessados que
possuam a Certificação Digital.
 16

Para os usuários internos será utilizada a rede municipal interna (intranet)

passando por roteador/switch.
Para os usuários externos será utilizada a estrutura da Internet com auxílio de
roteadores protegidos por firewall que direcionará para onde estão localizados os
servidores de aplicação, numa área segura denominada (DMZ).
DMZ (demilitarized zone), no mundo dos roteadores domésticos, é um host da
LAN que ficará completamente exposto à internet. Em redes corporativas, DMZs
(geralmente subredes) são usadas para hospedar servidores dentro da LAN,
mantendo o resto da rede segura. Se alguém invadir essa subrede dos servidores,
não conseguirá chegar aos demais hosts.
A alta disponibilidade pode ser provida através um link de internet de uma
operadora, conectado a um appliance firewall (solução integrada hardware +
software) que por sua vez fará o balanço de carga para o servidor web respondendo
pela camada de apresentação da aplicação. O servidor web fará acesso a um
servidor de geração das chaves públicas e privadas, cabendo à aplicação do
servidor web comutar o acesso ao outro servidor de banco de dados. Ambos
servidores de aplicações estarão acessando um único gerenciador de banco de
dados por questões de integridade.
 17

Essa rede estará conectada a outra (vide informações sobre o Datacenter),

através de um backbone, onde ocorrerá a duplicação dos Servidores, garantindo a
segurança dos dados.

6. Infraestrutura necessária

Computação baseada em Servidor

A Computação Baseada em Servidor é uma solução que permite
implementar, controlar e gerenciar aplicações em um servidor e apresentar apenas a
interface ao usuário. O Thin Client (TC) é um equipamento de pequenas dimensões,
concepção muito simples e com Custo Total de Propriedade (TCO) muito menor que
o Computador Convencional (PC).

As aplicações são executadas integralmente no Servidor de Aplicações e a

performance da Solução não depende do poder computacional de cada estação.
Somente toques de teclado, movimentos de mouse e pixels de tela trafegam pela
rede (dados e arquivos executáveis estão no servidor).

A instalação e configuração dos softwares são rápidas e simples. As

aplicações são instaladas uma única vez nos servidores e ficam disponíveis
imediatamente nos TC's dos usuários. Além disso, possuem uma vida útil de 5 a 6
anos, enquanto o PC possui entre 2 e 3 anos, devido ao desgaste natural e à
necessidade de maior poder computacional para as novas versões de software.

Os pedidos de suporte diminuem acentuadamente, reduzindo os custos de

Help Desk, Downtime e os Custos Indiretos (auto-suporte e usuários dando suporte
a colegas de trabalho).

Elimina a necessidade de set-up da aplicação em cada PC. As aplicações são

instaladas uma única vez nos Servidores de Aplicações.

O consumo de energia elétrica do Thin Client é de apenas 10% do consumo

de um PC.
 18

Garantia da integridade dos parâmetros de instalação do sistema operacional e das

aplicações contra a intervenção de usuários não habilitados e/ou qualificados.

A instalação dos aplicativos é centralizada e a solução não depende da

localização geográfica dos servidores, permitindo a eliminação dos custos de
manutenção de estruturas de TI replicadas e de profissionais de suporte em cada
unidade.

A Prefeitura poderá retomar suas atividades rapidamente, em caso de

desastres, que antes paralisariam suas operações. Os usuários podem acessar suas
aplicações de qualquer lugar, em pouco tempo.

Os profissionais podem acessar suas aplicações de qualquer lugar, inclusive

a partir de Dispositivos Wireless e PDAs.

As aplicações podem ser disponibilizadas imediatamente pela WEB, sem

alteração das linhas de código.

As principais vantagens do emprego de thin clients são:

Baixo custo de administração de TI.

Facilidade de proteção.

Baixo custo de hardware.

Menor custo para licenciamento de softwares.

Baixo consumo de energia.

Valor desprezível para a maioria dos ladrões.

Resistência a ambientes hostis.

Menor dissipação de calor para o ambiente (economia com ar condicionado).

Mais silencioso que um PC convencional.

Necessita menor largura de banda na rede onde é empregado.

Não necessita de ser substituído com a mesma frequência de um PC convencional,

gerando menos lixo eletrônico.
 19

• Servidor: Configuração mínima de processador de 3 GHz e 4GB MB RAM;

gravador de CD/DVD e software para backup e Antivírus corporativo atualizado;
monitor e placa de vídeo gráfica com mínimo de 800X600 de definição; sistemas
operacionais Windows 2003 ou 2008 Server; Implantação a ser realizada pela
contratada, com acompanhamento da equipe de TI da Prefeitura, definindo as
políticas de segurança e acesso às informações do sistema e ao Banco de Dados.
(Active Directory e Group Policy Management)
• Servidor de Banco de dados: caso a Prefeitura opte pela utilização do banco de
dados SQL Server ou My SQL, precisa apresentar o DBA responsável pela sua
instalação e administração do Banco de Dados. O SGBD armazenará as chaves
públicas geradas pelo Servidor Gerador de Chaves Públicas e Privadas.
• Servidor Gerador de Chaves Públicas e Privadas - Servidor Linux configurado com
softwares a serem instalados por profissionais da ICP-Brasil.
• Servidor de Aplicações Web - Servidor Linux configurado com as seguintes
opções:
Servidor de E-MAIL:
Permite aos usuários terem um correio eletrônico interno para troca de
memorandos, arquivos etc. com ou sem armazenamento para auditoria futura.
Permite também receber e-mails externos e redirecioná-los aos usuários.
Servidor FTP:
Permite a troca de arquivos entre os usuários através de conexão direta no
servidor utilizando uma senha individual.
É possível que os clientes ou fornecedores enviem e baixem arquivos no
servidor, de acordo com a política de segurança implantada;
Servidor HTTP:
Permite hospedar páginas de Internet no seu servidor local facilitando a
publicação de documentos, imagens, sons etc.
 20

Servidor de acesso remoto (VPN):

A Rede Privada Virtual permite interligar duas ou mais redes distantes via
Internet tipo Centro/Secretarias configurando assim uma EXTRANET.
O serviço de hospedagem de páginas com conteúdo dinâmico deixou de ser
uma exclusividade dos provedores. Hoje, em várias empresas, existe a necessidade
de termos um servidor com o conjunto Linux + Apache + Mysql + PHP.

7. Metodologia de Implantação

Consultoria de Implantação
Metodologia de trabalho que prioriza as necessidades básicas do cliente sem
perder a visibilidade global do projeto. Assegurando aos clientes a implantação da
solução dentro do prazo determinado. Período de 30 dias.

Levantamento
Nesta fase a equipe de implantação fará o levantamento da Prefeitura.
Identificando as atividades, como ela trabalha quais suas dificuldades e prioridades,
conhecer as pessoas envolvidas, verificar os equipamentos que serão utilizados,
checar a instalação da rede e fazer a apresentação da metodologia de Implantação.
Período de 45 dias.

Descrição do Negócio
Nesta etapa a Prefeitura preenche um formulário descrevendo como
funcionam as rotinas dentro do seu negócio. É muito importante o preenchimento
correto para ajudar na criação do cronograma de implantação e de compreensão da
atividade do cliente. Facilitando e dando velocidade ao processo. Período de 30
dias.

Definição do Cronograma de Implantação

Para uma implantação de sucesso é preciso que o cliente entenda a
importância de cumprir cada etapa do Cronograma de Implantação. No Cronograma
de Implantação serão definidas minuciosamente todas as datas com as fases para a
conclusão do projeto. Período de 20 dias.
 21

Implantação e Treinamento
O projeto tem inicio nesta fase. As datas das visitas definidas pelo
cronograma de implantação começam a ser cumpridas. Em todas as fases deverá
estar presente um responsável indicado pela Prefeitura para ser o ponto de contato
com a contratada, para que o mesmo tenha o conhecimento global dos sistemas e
do projeto. Período de 30 dias.

Pré-Inauguração
Com todos os usuários já capacitados e as configurações implementadas, a
Prefeitura já está pronta para utilizar os sistemas e emitir o Cartão de Identificação
Digital. Mas para garantir o perfeito funcionamento, a contratada criou a etapa de
Pré-Inauguração. Nesse período, o sistema é colocado em funcionamento em um
ambiente teste. Período de 45 dias.

Inauguração
Com a inauguração, o sistema entra em operação. A Prefeitura está pronta
para usufruir todos os benefícios e vantagens proporcionadas pelos sistemas. Esta
inauguração é acompanhada pelo consultor da contratada.

8. Fases do Projeto
FASE PRAZO DESCRIÇÃO DOS SERVIÇOS

1ª 30 dias Desenvolvimento e Implantação do Portal Principal e

Serviço de Correio Eletrônico

2ª 60 dias Desenvolvimento e implantação da Intranet/Extranet.

Preparação do Servidor para rodar a aplicação Web

3ª 120 dias Preparação/configuração do Banco de Dados para

armazenamento das informações dos cidadãos,
inclusive da chave pública.

Desenvolvimento e implantação da integração com os

sistemas corporativos, utilização do Cartão de
Identificação Digital, treinamento dos funcionários no
atendimento aos munícipes
 22

4ª Do início de cada Serão prestados os serviços de manutenção e

fase até o suporte de todos os serviços envolvidos em cada
vencimento do fase.
contrato

9. Política de Segurança

Premissas básicas a serem obtidas:

• Confidencialidade - visa garantir que a informação só estará acessível a quem
tenha o devido direito, restringindo o acesso aos demais indivíduos.
• Integridade - visa garantir que a informação não será alterada ou adulterada,
seja acidental ou intencionalmente por que não possua permissão para tal.
• Disponibilidade - visa garantir que a informação estará acessível sempre que
for solicitada.
Para garantir uma gestão de segurança eficaz, é necessário que se
estabeleçam padrões operacionais e de condutas baseadas nas melhores práticas.
O documento que define esses padrões dentro da empresa é a Política de
Segurança, abordando os seguintes aspectos:
• Diretrizes: possui caráter estratégico, definindo as políticas e por isso são
estabelecidas em conjunto com a alta direção. Descreve “o que dever ser feito”;
• Normas: de caráter tático, definem as regras ou normas a serem adotadas, de
acordo com as diretrizes estabelecidas;
• Procedimentos: com caráter operacional, descrevem “como” as normas serão
implementadas.
A Política de Segurança deve ser um documento de fácil compreensão, para
que seja de conhecimento de todos para o uso seguro dos ativos da Prefeitura,
incluindo-se a informação.
Como a Política de Segurança tem caráter normativo dentro da empresa, é
necessário que haja um registro escrito e assinado por cada usuário ou funcionário,
quanto ao seu conhecimento, inclusive para respaldo da Prefeitura em possíveis
questões trabalhistas.
 23

9.1. Segurança Física

- Firewall:

O firewall será configurado na rede bloqueando portas não privadas, deixando

aberto publicamente apenas os serviços comuns (http, https, smtp, pop, imap).

- Backup

Todo o conteúdo dos sites e banco de dados de são copiados (backups) diariamente
e as copias armazenadas em 2 pontos geográficos diferentes garantindo a máxima
segurança no caso de catástrofes, erros de servidor ou simples perda por "engano"
do usuário. Esses dados são armazenados por 45 dias e estão a disposição caso
necessários.

- Banco de dados

Acesso controlado sendo liberado apenas para IPs previamente cadastrados através
do Painel de Controle.

- Painel de Controle

Acessível apenas mediante fornecimento de senha e login de conhecimento apenas

da Gerência de TI. Os dados atualizados através do Painel de Controle são
encriptados e protegidos por certificado de segurança com encriptação de 128 bits.
Todo o acesso ao Painel de Controle é registrado e mostrado ao cliente no próprio
Painel de Controle.

- Rede interna

Instalação de um "NIDS" (network intrusion detection system). Ele analisa cada

pacote entrando e saindo da rede em busca de ataques, worms, virus e tentativas de
hackeamento a servidores.

- Sistema de vigilância remota verificando os serviços do servidor a cada 3 minutos e

os reiniciando em caso de paralisação anormal, com comunicação imediata das
irregularidades verificadas ao pessoal técnico de plantão.
 24

- Redundância de Link.

Os servidores estarão ligados a circuitos redundantes e independentes, de mesmo

tamanho (100Mbps cada um), de backbones distintos e sem pontos em comum, o
que garante 99.9% de tempo no ar (on-line).

Em caso de queda de um dos circuitos lógicos o outro é comutado automaticamente

no prazo Máximo de 3 minutos.

- Alojamento

Os servidores serão alojados dentro de DataCenters (2), em diferentes prédios da

Prefeitura, com rigoroso controle de temperatura, controle de umidade e fluxo de ar.

Equipados com detectores e sistemas de combate ao fogo e protegidos contra

furacões, inundações e outros fenômenos da natureza. Vigilância 24hs através do
monitoramento e gravação das imagens das atividades nos DataCenters.
Movimentação de funcionários e/ou visitantes controlada por equipe de segurança
que mantém registro de horários das visitas e identificação dos visitantes.

- Rede Elétrica

Utilização de NoBreak - UPS (Uninterrupted Power Supply), com múltiplos circuitos

de saída, equipados com ATS (Automatic Transfer Switches) que garantem
redundância em aos circuitos elétricos, garantindo comutação automática e sem
descontinuidade em caso de queda, de qualquer tipo, de circuitos elétricos.

Será também utilizado um gerador de autonomia para 7 dias sem reabastecimento.

Controle de power remoto que possibilita desligar e ligar servidores via TCP-IP.

Controle de umidade local.

9.2. Usuários

9.2.1. Utilização dos recursos de Tecnologia da Informação pelos funcionários.

Os equipamentos e o sistema que viabiliza toda a atividade de acesso

eletrônico à rede corporativa e à conexão com a Internet, assim como as
informações geradas, recebidas, armazenadas e transmitidas, compõem patrimônio
 25

da Prefeitura e, como tal, devem ser entendidos. Assim sendo, todos os empregados
da Prefeitura obrigam-se ao atendimento das seguintes diretrizes:

I. Utilizar os recursos de Tecnologia da Informação somente para a consecução dos

negócios da Prefeitura.

II. Acessar diretamente computadores externos apenas para obter ou retransmitir

informações digitais cujo conteúdo esteja relacionado com a rotina de trabalho.

III. Racionalizar o envio de informações digitais, evitando excessos de mensagens

que sobrecarreguem a rede e provoquem lentidão na transmissão de informações e
prejuízo para a Prefeitura.

IV. Utilizar somente programas e equipamentos homologados e instalados pelo

Departamento de TI. Os programas computacionais e equipamentos de uso
específico e restrito a um departamento, e que não demandem recursos da rede
corporativa, serão homologados e instalados pelas áreas internas competentes, que
deverão informar previamente ao Departamento de Tecnologia da Informação.

V. Adotar senhas de acesso para garantir a segurança das informações e a proteção

dos equipamentos.

VI. Usar o Correio Eletrônico da Transmissão – Utilizar a Internet para a realização

dos trabalhos pertinentes as atividades da área .Os mesmos recursos de TI podem
ser utilizados para facilitar o atendimento aos compromissos pessoais e realizar
ações de cidadania, desde que não afetem negativamente a rotina de trabalho . Os
casos omissos submetem-se à aprovação da gerência do funcionário.

VII. Buscar informações digitais que possibilitem atualização profissional.

VIII. Efetuar Logoff ao fim da utilização.

IX. Atender as diretrizes da Norma de Segurança Interna, na utilização dos recursos

de TI.

9.2.2. Transgressões graves.

As seguintes condutas serão classificadas como falta grave e o infrator estará

sujeito a sanções disciplinares:
 26

I. Enviar, em nome da Prefeitura. mensagens que externem opiniões pessoais.

II. Enviar textos, figuras ou desenhos que comprometam a reputação ou a imagem

da Prefeitura.

III. Divulgar informações confidenciais ou de propriedade da Prefeitura, sem a devida

autorização.

IV. Utilizar os Recursos de Tecnologia da Informação para fins de outros ganhos

pessoais.

V. Acessar ou armazenar material pornográfico.

VI. Enviar mensagens com conteúdo, sexual, político, ideológico, racista,

discriminatório, ofensivo ou difamatório.

VII. Utilizar os equipamentos computacionais da Prefeitura para conseguir acesso

não autorizado a qualquer outro computador, rede, banco de dados ou informação
guardada eletronicamente (interna ou externamente).

VIII. Enviar cópias de arquivos sem a autorização do proprietário.

IX. Copiar, distribuir ou imprimir material protegido por direitos autorais.

X. Desativar ou violar os dispositivos de segurança instalados nos equipamentos.

XI. Enviar mensagens, do tipo corrente, que se multiplicam sucessivamente, através

de recomendações para que o destinatário as repasse a seus conhecidos (pedidos
de ajuda, alertas sobre vírus, etc.).

XII. Compartilhar com terceiro as senhas de acesso aos recursos de TI. As senhas
são pessoais e intransferíveis.

9.2.3. Monitoramento

O monitoramento da utilização dos recursos de tecnologia da informação é

direito da Prefeitura, amparado legalmente. Como tal, é suscetível aos processos de
auditoria. As informações privadas protegidas legalmente, tais como as contidas em
sites de instituições financeiras e de centros de medicina diagnóstica, não serão
monitoradas. As demais somente serão divulgadas quando solicitadas por comissão
 27

de sindicância, devidamente nomeada, conforme estabelecido pelas normas

internas da Prefeitura.

9.3. Conduta do Profissional do Departamento de Tecnologia da Informação –

Critério para Aplicação de Medidas Disciplinares

Monitorar, a qualquer tempo e sem prévio aviso, o envio, recepção e

armazenamento de mensagens, com o intuito de assegurar que os meios de
produção oferecidos pela Prefeitura atendam ao fim para o qual foram destinados.

I - Medidas Disciplinares

Gerente de Divisão

1. Aplicar sanções disciplinares ao empregado que violar ou permitir a

violação destas diretrizes.

2. Tomar as medidas cabíveis para aplicação de penalidades a prestadores

de serviços por transgressão das diretrizes.

II - Sanções a terceiros

Responsável pelo contrato

1. Solicitar a inclusão de cláusula de obrigatoriedade do conhecimento e

cumprimento das diretrizes, nos contratos de prestação de serviços que envolvam
tecnologia da informação. Os contratos devem estabelecer quais recursos de TI
serão disponibilizados pela Prefeitura.

2. Encaminhar a aplicação das sanções para as infrações estabelecidas no

contrato do serviço e este deve aplicar a Lei de Licitações e Contratos n.8666/93,
atualizada pelas Leis n. 8883/94 e 9032/95.

O processo de divulgação das diretrizes de Utilização dos Recursos de TI,

uma das ações previstas pela Política de Segurança da Informação, busca
esclarecer a todos os usuários, porque as consequências do uso indevido são
nocivas para a instituição; a base legal que dá suporte às restrições de uso e o
legítimo e legal direito do empregador de monitorar a utilização dos meios de
produção adquiridos para a realização do negócio da Prefeitura. Os recursos de TI
 28

também compõem este patrimônio. São recursos de TI, a rede, a senha, as

informações armazenadas no equipamento, a conexão com a Internet, etc., além do
próprio equipamento. O esclarecimento a respeito do direito de propriedade serve de
introdução e justifica a decisão pela adoção do monitoramento da utilização dos
recursos de TI como prevenção a futuras demandas judiciais por seu uso indevido.

Este tema vem sendo objeto de discussão jurídica, predominando a

tendência, hoje já amparada por jurisprudência, que afirma serem os recursos de TI
ferramentas de trabalho de propriedade do empregador, cuja utilização pode e deve
ser normatizada e monitorada pelo mesmo. A adoção de políticas de monitoramento
do e-mail corporativo e de fiscalização da Internet encontra suporte legal no princípio
da proteção da propriedade privada, previsto na Constituição Federal, e no poder
diretivo do empregador, apontado no artigo 2º da Consolidação das Leis do
Trabalho. Além disso, o novo Código Civil, em seu artigo 932, inciso III, não deixa
dúvidas quanto à responsabilidade objetiva do empregador de reparar os danos que
o empregado venha a causar no exercício de suas atividades profissionais, o que
reforça, muito além do direito, o dever da empresa de controlar o uso que seus
empregados fazem dos meios de produção. No caso de instituições públicas, a má
gestão de recursos gera consequências muito mais graves que na esfera privada. O
administrador dos recursos públicos deve adotar medidas preventivas do mau uso.

10. Datacenters

A definição de Datacenter como um prédio inteligente, dotado de mecanismos para

segurança de acesso, detecção preventiva e combate a situação de riscos, com
objetivo de manter um ambiente propicio à hospedagem de equipamentos que
compõem a infraestrutura de tecnologia da informação, necessita ser construído de
acordo com normas internacionais, onde a norma mais empregada é a TIA 942.

A norma TIA 942 define 4 níveis, denominados Tiers (camadas) os quais

correspondem a uma classificação progressiva de disponibilidade da infraestrutura
de um datacenter. Os Tiers foram originalmente definidos pelo Uptime Institute e
correspondem aos seguintes níveis de classificação de riscos:
 29

TIER 1: Básico

Suscetível a interrupções planejadas ou não planejadas. Erros operacionais ou

falhas espontâneas da infraestrutura do site podem provocar a interrupção dos
serviços. Permite uma indisponibilidade (downtime, ou seja, tempo que uma
aplicação ou sistema permanece indisponível para utilização) anual máximo de até
28,8 horas.

TIER 2: Componentes Redundantes

Em face da redundância nos equipamentos, esta categoria é menos susceptível a

falhas. O ambiente possui piso elevado e planejamento N+1 (“Need plus one”). A
distribuição de circuitos não é redundante. Permite uma indisponibilidade (downtime)
anual máximo de até 22 horas.

TIER 3: Manutenção Concorrente

Permite atividades planejadas de manutenção sem a necessidade de interrupção

dos serviços. Permite uma indisponibilidade (downtime) anual máximo de até 1,6
horas.

TIER 4: Tolerante a Falhas

Além de possuir infraestrutura e capacidade para operar sob qualquer tipo de

ação de manutenção programada, o ambiente é também tolerante a falhas,
garantindo o fornecimento de recursos de energia elétrica, ar condicionado, mesmo
durante a ocorrência de pior caso intempestivo (enchentes, falta de energia elétrica,
falta de água, queda de pequenas aeronaves, etc.). Permite uma indisponibilidade
(downtime) anual máximo de até 0,4 horas.
Hoje, datacenters buscam a certificação SAS tipo II que é uma
regulamentação norte-americana complementar à lei Sarbannes-Oxley e aplicada às
prestadoras de serviços de TI, com objetivo de garantir controles eficazes destas
instituições. Para obter esse certificado é necessário contratar uma auditoria
independente, como a KPMG, credenciada pelos órgãos dos Estados Unidos. Essa
auditoria é que vão checar os procedimentos de controle e gerenciamento,
segurança física e lógica, “change management“, monitoramento de rede e
sistemas. A auditoria verifica a existência dos controles e eficácia. Atualmente, o
 30

SAS 70 é reconhecido internacionalmente e obrigatório para toda empresa de TI

cujos clientes possuam ações na Bolsa de Nova York. Exemplo foi a Alog que
conseguiu a sua certificação SAS 70 tipo II no início do ano de 2010.
Sugerimos a criação de 2 (dois) datacenters, atendendo os níveis da Norma
TIA 942, sendo o principal localizado no prédio da Secretaria Municipal da
Administração, na Praça Rui Barbosa, 101, no bairro Centro conectado por um
backbone, o qual segue pela Rodovia Regis Bittencourt, ao outro instalado no prédio
da Administração Regional “Fernando Roberto Jaenz”, na Avenida Winston
Churchill, 2033, bairro Capão Raso, conforme mapa abaixo.
 31

11. Formação dos Profissionais envolvidos no Projeto

De acordo com a Lei 8.666, de 21/06/1993 – Seção IV e VI - Art. 13 e Art.30.
11.1. Serviços a serem realizados no desenvolvimento de soluções:

11.1.1. Consultoria em Gestão de TI

Descrição: Compreende os serviços de apoio à decisão estratégica para o

planejamento das ações da área de TI, com a indicação de ferramentas,
metodologias, técnicas e planejamento (cronogramas, definição de recursos) das
soluções a serem desenvolvidas e/ou mantidas.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de capacidade
técnica fornecido em seu nome, comprovando mais de 3 (três) anos de
experiência em gestão de projetos de tecnologia da informação, pertencente
ao quadro permanente da empresa licitante quando das Visitas Técnicas a
serem realizadas.

11.1.2. Levantamento de Necessidades

Descrição: Compreende os serviços de entrevistas com gerentes, diretores ou

usuários, bem como pesquisa e levantamento junto aos sistemas, aplicações e
documentações existentes.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
capacidade técnica fornecido em seu nome, comprovando mais de 3 (três)
anos de experiência em levantamento e especificação de sistemas e soluções em
infraestrutura de redes e telecomunicações.

11.1.3. Especificação de Sistemas

Descrição: Compreende os serviços de especificação de sistemas de acordo com

as metodologias determinadas pelo CONTRATANTE, através de modelos e
dicionários de dados, diagrama de classes, etc.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de capacidade
 32

técnica fornecido em seu nome, comprovando mais de 3 (três) anos de

experiência em levantamento e especificação de sistemas.

11.1.4. Especificação de Ambiente/Serviço

Descrição: Compreende os serviços de especificação de soluções de infraestrutura,

rede e recursos, de acordo com as metodologias determinadas pelo
CONTRATANTE, através de desenhos de rede, descrição de configurações de
hardware, descrição de configuração de software etc.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
capacidade técnica fornecido em seu nome, comprovando mais de 3 (três)
anos de experiência em levantamento e especificação de infraestrutura de
redes e telecomunicações.

11.1.5. Desenvolvimento de Sistemas

Descrição: Compreende os serviços de codificação de programas através das

linguagens de programação e ferramentas de desenvolvimentos definidas pelo
CONTRATANTE, a partir das especificações de soluções em sistemas.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
capacidade técnica fornecido em seu nome, comprovando mais de 3 (três)
anos de experiência em desenvolvimento de sistemas em ambiente
client/Server e web.

11.1.6. Homologação de Sistemas

Descrição: Compreende os serviços de validação dos programas, módulos ou

sistemas desenvolvidos pela equipe de desenvolvimento. Esta validação tem como
objetivo confirmar se a solução disponibilizada atende às especificações e
solicitações do usuário. Esta atividade será feita em conjunto com representante dos
usuários, designado pelo CONTRATANTE.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
 33

capacidade técnica fornecido em seu nome, comprovando mais de 3(três)

anos de experiência em desenvolvimento de sistemas em ambiente
client/Server e web, teste, validação e homologação de software.

11.1.7. Implementação de Ambiente/Serviço

Descrição: Compreende a implementação de serviços e ambientes técnicos de

acordo com as especificações de soluções de infraestrutura, rede e recursos.

Aqui estão inseridas atividades de administração, monitoramento e operação de

redes, instalação e configuração de sistemas operacionais de servidores de redes,
instalação e configuração de serviços de rede tais como proxy, firewall eDNS,
acompanhamento, configuração e teste de links disponibilizados. Para situações de
“estouro” de previsão não previstas, será avaliado o motivo. Sendo o motivo de
responsabilidade da CONTRATADA, os serviços deverão ser ajustados ou refeitos
sem custos para a CONTRATANTE.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
capacidade técnica fornecido em seu nome, comprovando mais de 3 (três)
anos de experiência em administração, monitoração e configuração de redes
de computadores.

11.1.8. Treinamento de Funcionários

Descrição: Compreende a realização de treinamentos em aplicativos ou sistemas

(implantados ou em processo de implantação) que estejam contemplados no
planejamento da área de TI ou em atendimento a solicitações do CONTRATANTE.

Qualificação Mínima: Serviço a ser prestado por profissional detentor de atestado

de capacidade técnica fornecido em seu nome, comprovando mais de 1 (um) ano de
experiência em realizar treinamento na área de informática para usuários, nos
aplicativos, ferramentas e sistemas de informação.

11.1.9. Implantação de Sistemas

Descrição: Compreende a realização de tarefas voltadas a implantação de sistemas

tais com o: instalação dos sistemas, conversão de base de dados, migração de
 34

dados, testes específicos em ambientes diversos, avaliação de resultados de

desempenho em massas de dados superiores às previstas para startup de
aplicações, etc. Também faz parte das atividades previstas para o Serviço de
Implantação de Sistemas, o apoio na instalação e atualização de versões dos
aplicativos fornecidos por terceiros, aplicados na gestão corporativa da
CONTRATANTE.

Qualificação Mínima: Serviço a ser prestado por profissional com formação em nível
superior e/ou pós-graduação na área de TI, detentor de atestado de
capacidade técnica fornecido em seu nome, comprovando mais de 3 (três)
anos de experiência em desenvolvimento e implantação de sistemas em
ambiente client/Server e web.

11.2. Serviços a serem realizados no suporte à disponibilidade das soluções:

11.2.1. Gerência de Suporte Técnico e Rede

Descrição: Define-se neste tipo de serviço, o conjunto de atividades de gestão de

rede de dados, compreendendo as atividades de planejamento, coordenação e
acompanhamentos do funcionamento e eficiência do sistema; orientação das
equipes técnicas; elaboração e implantação de programas de trabalho;
elaboração de especificações técnicas, de relatórios de gestão e ocorrências;
acompanhamento e participação nas atividades da administração de segurança;
coordenação e acompanhamento dos contatos com entidades externas para
solução de problemas operacionais; gerenciamento das atividades ligadas ao
planejamento, administração e manutenção da rede da CONTRATANTE;
realização de monitorações e auditorias no ambiente de rede; desenvolvimento
das estratégias e estudos de implantações de recursos computacionais na área de
software e hardware na CONTRATANTE; documentação das rotinas de
trabalhos e serviços da Área de Informática; realização de montagens e
desenvolvimento de configurações de equipamentos servidores; planejamento,
instalação e configuração de programas em equipamentos servidores e
estações de trabalho para implementação no ambiente de trabalho da Rede;
estabelecimento de configuração e padrão de manutenção em equipamentos
 35

de rede (switches, roteadores, hubs); gerenciamento e implementação dos

serviços de acesso à Internet e domínios da CONTRATANTE;
acompanhamento do planejamento, desenvolvimento, implementação e
manutenção da segurança do ambiente de TI da CONTRATANTE junto com a
Administração de Segurança; participação na realização dos testes de
vulnerabilidades, na implementação de service packs, hot fix e demais
atualizações de segurança que se fizerem necessárias.

Requisitos Técnicos Mínimos: Executado por profissional de nível Sênior com

extenso conhecimento sobre instalação e configuração de Sistemas Operacionais
Windows, UNIX (Linux) e integração de sistemas heterogêneos, tendo experiência
comprovada no exercício de atividades específicas de administração de redes
e suporte técnico, de gerenciamento de projetos e liderança de equipes,
superior à 03 (três) anos, e certificações técnicas relativas aos ambientes de
software envolvidos. Ter vivência em redes ATM, frame relay e TCP/IP, sólidos
conhecimentos de arquitetura TCP/IP, configuração de roteadores e switches,
projetos e instalação física de redes LAN e WAN.

11.2.2. Análise de Suporte de Software

Descrição: Define-se neste tipo de serviço o conjunto de atividades de gestão do

suporte a infraestrutura de servidores com Sistema Operacional Windows e Linux,
estações de trabalho com sistema operacional Windows e seus aplicativos,
prospecção de novos produtos e tecnologias.

Requisitos Técnicos Mínimos: Executado por profissional de nível Sênior, com curso
superior na área de informática concluso, conhecimento avançado de Sistemas
Operacionais Windows. Desejável certificação pela Microsoft MCSE, conhecimento
em Windows 2000 Server, conhecimentos avançados em Linux, em estruturas de
segurança de redes corporativas (firewall/IDS), conhecimento básico em banco de
dados SQL-SERVER para administração e segurança; web (Apache/IIS) e MS
Exchange. Desejável noções sobre implementação de vídeo-conferência e VoIP.
Experiência em equipes de Suporte superior à 03 (três) anos.
 36

11.2.3. Serviço de Suporte Técnico de Software

Descrição: Define-se neste tipo de serviço o conjunto de atividades de suporte à

sistemas operacionais e aplicativos existentes nas instalações de uso da
CONTRATANTE, envolvendo a instalação e configuração dos aplicativos
homologados pela PMC, atendimento em campo para diagnóstico e correção
das disfunções apresentadas por estes aplicativos, preparação de ambiente
para execução de backups de arquivos de usuários, levantamento e avaliação de
performance dos equipamentos, diagnóstico básico de operacionalidade de rede.

Requisitos Técnicos Mínimos: Executado por profissionais de nível Sênior com

curso superior completo na área de Informática, conhecimento básico de sistema
operacional Windows, aplicativos Microsoft, ferramentas de Internet e protocolo
TCP/IP . Desejáveis noções de programação em Delphi, Visual FOX, FOX-DOS,
FOX for Windows. Experiência em equipes de Suporte superior a 03 (três) anos.

11.2.4. Serviço de Suporte Técnico de Rede

Descrição: Define-se neste tipo de serviço o conjunto de atividades de

Administração de Rede e de Produção.

Requisitos Técnicos Mínimos: Executado por profissional de nível Sênior, com

experiência comprovada no exercício de atividades específicas de apoio à
administração de redes e liderança de equipes, superior a 03 (três) anos.
Conhecimentos de elementos físicos de rede, topologias e protocolos de rede LAN.
Conhecimentos básicos de gerenciamento SNMP e analisador de protocolos.
Monitoramento de ambiente de tecnologia da informação, manutenção do ambiente
de correio eletrônico; controle dos ambientes de produção web, documentação
de processos da área de operação.

11.2.5. Serviço de Suporte Técnico de Hardware

Descrição: Define-se neste tipo de serviço, o conjunto de atividades de suporte à

infraestrutura física da rede corporativa da CONTRATANTE, que abrangem:
monitoração e controle dos procedimentos operacionais e de manutenção dos
equipamentos centrais de suprimento de energia estabilizada e condicionada (no-
breaks, baterias, estabilizadores e quadros de sinalização remota), dos
 37

componentes de sua rede de distribuição elétrica, dos sistemas de exaustão de ar,

refrigeração, controle de temperatura, iluminação e alarmes de emergência
integrantes dos ambientes computacionais (CPD e demais setores da área de
Informática) e de energia a estes associados; instalação de equipamentos de
energia de pequeno porte e circuitos elétricos de baixa tensão; instalação,
identificação, controle, testes e manutenção de cabeamento lógico de rede
(estruturado e não estruturado) e dos terminais dos computadores centrais
(midframes), das linhas de telefonia e enlaces internos utilizados na
comunicação de dados; levantamento, controle, guarda e requisição de
materiais e ferramental de instalação; bem como, o conjunto de atividades
voltadas ao parque de equipamentos de informática que abrangem: guarda,
execução e acompanhamento de inventários e controles diversos de hardware e
patrimonial, transporte (interno e externo), instalação, configuração (de
hardware), ativação, monitoração, testes e manutenção de equipamentos de
informática e de comunicação de dados em geral, incluindo seus diversos
módulos e interfaces integradas; montagem de infraestrutura física,
equipamentos e suporte operacional em eventos (internos e externos)
promovidos ou com a participação da CONTRATANTE; orientação à usuários;
registro, avaliação, resolução, encaminhamento, acompanhamento e controle do
atendimento aos chamados sobre problemas técnicos quanto a operação e o
funcionamento dos equipamentos; participação na avaliação de necessidades de
melhoria de performance e capacidade dos recursos computacionais.

Requisitos Técnicos Mínimos: Executado por profissionais de 2o. grau

profissionalizante na área de eletro-eletrônica ou informática ou de 2o. grau
completo ou superior incompleto, com cursos técnicos especializados nas
áreas de eletro-eletrônica ou informática, e experiência comprovada superior à 04
(quatro) anos atuando na área de eletro-eletrônica aplicada à informática ou, em
instalação e manutenção de infraestrutura física, computadores, equipamentos
de rede e comunicação de dados.

11.2.6. Serviço de Operação de Rede

Descrição: Define-se neste tipo de serviço, o conjunto de atividades destinadas a

manter atualizadas as cópias de segurança, execução de trabalhos em batch,
 38

operação de redes locais e sistemas operacionais Windows, Unix através de

ferramentas de gerência de redes e manutenção dos registros atualizados das
atividades.

Requisitos Técnicos Mínimos: Executado por técnicos com experiência comprovada

no exercício de atividades destinadas a manter atualizadas as cópias de segurança,
execução de trabalhos em batch, com conhecimento de redes locais e sistemas
operacionais Windows, Unix, noções de ferramentas de gerência de redes, superior
à 03 (três) anos.

11.2.7. Serviço de Atendimento Técnico ao Usuário

Descrição: Define-se neste tipo de serviço, o conjunto de atividades voltadas ao

atendimento centralizado de suporte de 1o. nível aos usuários internos da rede
da CONTRATANTE, por telefone ou e-mail, abrangendo: configuração
adequada dos recursos de microinformática disponibilizados aos usuários;
instalação e atualização remota de softwares; esclarecimento de dúvidas e
apoio na identificação e correção de problemas relacionados tanto a hardware
quanto a softwares básicos utilizados na rede; criação e controle de contas de
acesso interno e externo (discado) à Rede e de e-mail; nomeação de estações de
trabalho, distribuição e controle de IP’s; configuração de browsers para
navegação Internet; triagem, encaminhamento e acompanhamento de
solicitações feitas ao serviço de atendimento ao usuário e repassadas as
equipes de suporte e analise de rede, verificação do nível de satisfação dos
usuários; elaboração de relatórios técnicos da área de atendimento.
 39

12. Conclusão

Como proposto, a criação de um cartão de identificação digital (CID), visa

facilitar o acesso aos munícipes as informações do Banco de Dados da Prefeitura do
Município de Curitiba e também para que seja feita uma atualização no cadastro dos
contribuintes, gerando uma melhora na arrecadação de impostos.

O munícipe poderá utilizar o CID para se identificar e ser atendido mais

rapidamente, evitando filas, sem possibilidades de fraude e podendo ser atendido
em qualquer órgão público da Prefeitura, ou mesmo através da Internet. Para obte-
lo, deverá atualizar seu cadastro, ou fazer um novo, o que beneficiará a Prefeitura
com informações atualizadas, podendo assim arrecadar mais impostos, que serão
transformados em benfeitorias para a população.

A certificação digital é hoje uma garantia de segurança dos dados

transmitidos na internet. As principais atividades econômicas, sociais e culturais
estão sendo feitas pela internet, e o uso da certificação digital é inevitável para a
segurança.

Não adiante nada ter delegacias especializadas e um Ministério Público

disposto a combater os crimes eletrônicos, se não temos ferramentas legais e
técnicas capazes de combater efetivamente o crime na Internet.

A implantação do método de computação baseada em Servidor irá gerar uma

economia de tempo e dinheiro para a Prefeitura, facilitando o trabalho do
Departamento de Tecnologia da Informação.

Outro ponto importante é o treinamento a ser realizado com os funcionários

para um melhor atendimento aos cidadãos, que passará uma melhor imagem
referente aos trabalhos realizados pela Prefeitura do Município de Curitiba.
 40

13. Legislação

LEI Nº 8.666, DE 21 DE JUNHO DE 1993 - Regulamenta o art. 37, inciso XXI, da

Constituição Federal, institui normas para licitações e contratos da Administração
Pública e dá outras providências.

Principais leis, decretos e instruções normativas que regem o uso da

Certificação Digital no Brasil

ICP-BRASIL

DECRETO Nº 3.996, DE 31 DE OUTUBRO DE 2001 Dispõe sobre a prestação de

serviços de certificação digital no âmbito da Administração Pública Federal.

DECRETO Nº. 4.414, DE 07 DE OUTUBRO DE 2002. Altera o Decreto Nº. 3.996, de

31 de outubro de 2001, que dispõe sobre a prestação de serviços de certificação
digital no âmbito da Administração Pública Federal.

DECRETO Nº. 3.872, DE 18 DE JULHO DE 2001. Dispõe sobre o Comitê Gestor da

Infraestrutura de Chaves Públicas Brasileira - CG ICP-Brasil, sua Secretaria-
Executiva, sua Comissão Técnica Executiva e dá outras providências.

MEDIDA PROVISÓRIA Nº. 2.200-2, DE 24 DE AGOSTO DE 2001 Institui a

Infraestrutura de Chaves Públicas Brasileiras - ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informação em autarquia, e dá outras providências.

Instituto Nacional de Tecnologia da Informação

INSTRUÇÃO NORMATIVA Nº. 1, DE 11 DE DEZEMBRO DE 2007 Aprova a versão

2.1 dos PROCEDIMENTOS ADMINISTRATIVOS A SEREM OBSERVADOS NOS
PROCESSOS DE HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE
CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL.

INSTRUÇÃO NORMATIVA Nº. 2, DE 11 DE DEZEMBRO DE 2007 Aprova a versão

2.0 da ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE
HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE
HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO
DIGITAL NO ÂMBITO DA ICP-BRASIL (DOC ICP-10.02)
 41

INSTRUÇÃO NORMATIVA Nº. 3, DE 11 DE DEZEMBRO DE 2007. Aprova a versão

3.0 dos REQUISITOS TÉCNICOS A SEREM OBSERVADOS NOS PROCESSOS
DE HOMOLOGAÇÃO DE CARTÕES INTELIGENTES (SMART CARDS), LEITORAS
DE CARTÕES INTELIGENTES E TOKENS CRIPTOGRÁFICOS NO ÂMBITO DA
ICP-BRASIL e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 4, DE 11 DE DEZEMBRO DE 2007 Aprova a versão

2.0 dos PADRÕES E PROCEDIMENTOS TÉCNICOS A SEREM OBSERVADOS
NOS PROCESSOS DE HOMOLOGAÇÃO DE SOFTWARES DE ASSINATURA
DIGITAL, SIGILO E AUTENTICAÇÃO NO ÂMBITO DA ICPBRASIL e dá outras
providências.

INSTRUÇÃO NORMATIVA Nº. 5, DE 11 DE DEZEMBRO DE 2007 Aprova a versão

1.0 dos PADRÕES E PROCEDIMENTOS TÉCNICOS A SEREM OBSERVADOS
NOS PROCESSOS DE HOMOLOGAÇÃO DE MÓDULOS DE SEGURANÇA
CRIPTOGRÁFICA (MSC) NO ÂMBITO DA ICP-BRASIL e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 6, DE 11 DE DEZEMBRO DE 2007 Aprova a versão

1.0 dos PADRÕES E PROCEDIMENTOS TÉCNICOS A SEREM OBSERVADOS
NOS PROCESSOS DE HOMOLOGAÇÃO DE SOFTWARES DE BIBLIOTECAS
CRIPTOGRÁFICAS E SOFTWARES PROVEDORES DE SERVIÇOS
CRIPTOGRÁFICOS NO ÂMBITO DA ICP-BRASIL e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 1, DE 14 DE FEVEREIRO DE 2006 Aprova a versão

2.0 dos PROCEDIMENTOS ADMINISTRATIVOS A SEREM OBSERVADOS NOS
PROCESSOS DE HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE
CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICPBRASIL.

INSTRUÇÃO NORMATIVA Nº. 2, DE 14 DE FEVEREIRO DE 2006. Estabelece a

Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem
utilizados nos processos de homologação de sistemas e equipamentos de
certificação digital no âmbito da ICPBrasil e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 3, DE 14 DE FEVEREIRO DE 2006. Aprova a

versão 2.0 dos REQUISITOS TÉCNICOS A SEREM OBSERVADOS NOS
PROCESSOS DE HOMOLOGAÇÃO DE CARTÕES INTELIGENTES (SMART
 42

CARDS), LEITORAS DE CARTÕES INTELIGENTES E TOKENS

CRIPTOGRÁFICOS NO ÂMBITO DA ICPBRASIL e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 05, DE 18 DE MAIO DE 2006. Aprova a versão 1.0

do documento ATRIBUIÇÃO DE ID NA ICPBRASIL O DIRETOR PRESIDENTE DO
INSTITUTO NACIONAL DE TECNOLOGIA DAINFORMAÇÃO, no uso das
atribuições que lhe foram conferidas pelo inciso I, do art. 1º, do anexo I, do Decreto
nº 4.689, de 7 de maio de 2003, e pelo art. 1º da Resolução nº 33 do Comitê Gestor
da ICP-Brasil, de 21 de outubro de 2004, e

INSTRUÇÃO NORMATIVA Nº. 06, DE 18 DE MAIO DE 2006. Aprova adendos aos

documentos da ICP-Brasil.

INSTRUÇÃO NORMATIVA Nº. 08, DE 18 DE MAIO DE 2006. Estabelece regras

para a adaptação, pelas entidades da ICPBrasil, de seus procedimentos
operacionais e de sua documentação ao disposto nas Resoluções 38 a 45 do
Comitê Gestor da ICPBrasil.

INSTRUÇÃO NORMATIVA Nº. 09, DE 18 DE MAIO DE 2006. Aprova a versão 1.0

dos PADRÕES E PROCEDIMENTOS TÉCNICOS A SEREM OBSERVADOS NOS
PROCESSOS DE HOMOLOGAÇÃO DE SOFTWARES DE ASSINATURA DIGITAL,
SIGILO E AUTENTICAÇÃO NO ÂMBITO DA ICPBRASIL e dá outras providências.

INSTRUÇÃO NORMATIVA Nº. 10, DE 15 DE SETEMBRO DE 2006 Aprova a versão

1.1 do documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR
DA ICP-BRASIL O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO
NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe
foram conferidas pelo inciso I, do art. 1º, do anexo I, do Decreto nº 4.689, de 7 de
maio de 2003, e pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de
21 de outubro de 2004, e Normas Fiscais

DECRETO Nº. 15.059, de 27 de janeiro de 2006. Normatiza a Escrituração

Eletrônica mensal do livro fiscal e a Declaração Eletrônico Anual ser realizada por
meio do “software” ISSQNDec e dá outras providências.

DECRETO Nº 25.223, DE 15 DE OUTUBRO DE 2004. Institui o Serviço Interativo de

Atendimento Virtual - Agênci@Net, que estabelece a obrigatoriedade de entrega de
 43

informações econômico fiscais e documentos eletrônicos com aposição de

assinatura digital, e dá outras providências.

DECRETO Nº 6.022, DE 22 DE JANEIRO DE 2007. Institui o Sistema Público de

Escrituração Digital - Sped.

Instrução Normativa SRF Nº. 222, de 11 de outubro de 2002. Institui o Serviço

Interativo de Atendimento Virtual (Receita 222).
 44

14. Referências

Fernando Amaral – Infraestrutura de chave publica <

http://www.fernandoamaral.com.br/Default.aspx?Artigo=26> acesso em 24/05/2010.

Conheça o significado das siglas mais importantes da Certificação Digital

http://www.iti.gov.br/twiki/bin/view/Certificacao/CertificadoConceitos acesso em
24/05/2010.

Como funciona o certificado digital < http://informatica.hsw.uol.com.br/certificado-

digital.htm> acesso em 20/05/2010

Certificação Digital do Governo de Minas Gerais

<https://wwws.prodemge.gov.br/index.php?option=com_frontpage&Itemid=1>
acesso 02/06/2010.

Métodos e análise se Criptografia PHP

<http://phpbrasil.com/artigo/mBMEs60gUuoX/metodos-e-analise-de-criptografia-
php> acesso em 26/05/2010.

brModelo: Ferramenta de Modelagem Conceitual de Banco de Dados – Monografia

http://sis4.com/brModelo/monografia/monografia.htm> acesso em 25/05/2010

Um exemplo de implementação de banco de dados distribuídos

<http://www.webartigos.com/articles/17334/1/UM-EXEMPLO-DE-
IMPLEMENTACAO-DE-BANCO-DE-DADOS-DISTRIBUIDO/pagina1.html> acesso
01/06/2010.

Glossário Certisign – obtido em <http://www.certisign.com.br/certificacao-digital/por-

dentro-da-certificacao-digital/glossario> - acesso 01/06/2010.

Cartão Inteligente SmartCard Mifare <http://www.globalcards.com.br/cartoes/cartao-

smartcard-mifare.html> acesso em 01/06/2010.

Segurança da Informação <http://www.drwhitehat.com/artigos/defesa-alem-do-

perimetro acesso 01/06/2010>
 45

Datacenters <http://blog.corujadeti.com.br/?p=1575> acesso em 01/06/2010.

Think Client <http://pt.wikipedia.org/wiki/Thin_client> acesso em 02/06/2010.

Cartões Smart e Sistemas de Identificação Seguros: Construindo uma Cadeia de

Confiança
<http://www.smartcardalliance.org/latinamerica/translations/Building_a_Chain_of_Tru
st_Portuguese.pdf> acesso 13/06/2010.

Chip, gravação a laser e certificado digital: conheça a nova carteira de

identidade<http://portalexame.abril.com.br/tecnologia/noticias/chip-gravacao-laser-
certificado-digital-conheca-nova-carteira-identidade-558504.html> acesso
16/06/2010.

Cartões com chip e o padrão EMV

<http://www.fraudes.org/showpage1.asp?pg=109> acesso em 16/06/2010.

Sites das Autoridades Certificadoras da ICP-Brasil

CAIXA ECONÔMICA FEDERAL - <http://www.icp.caixa.gov.br/asp/repositorio.asp>

Certisign Certificadora Digital <http://icp-brasil.certisign.com.br/repositorio>

ITI <http://www.iti.gov.br>

PRESIDÊNCIA DA REPÚBLICA - <https://thor.serpro.gov.br>

SECRETARIA DA RECEITA FEDERAL <http://www.receita.fazenda.gov.br/acsrf>

SERASA - <http://certificadodigital.com.br/repositorio>

SERPRO - <https://thor.serpro.gov.br/ACSERPRO>