Escolar Documentos
Profissional Documentos
Cultura Documentos
Secretaria de Governo
DO ESTADO DE SÃO PAULO
SUMÁRIO
1 Resumo............................................................................................................................ 4
2 Introdução........................................................................................................................ 6
3.1 Confidencialidade:................................................................................................... 6
3.2 Integridade:.............................................................................................................. 7
3.2.4 Utilidades............................................................................................................ 8
3.3 Disponibilidade....................................................................................................... 10
5.2 Conectividade a internet, conectividade entre equipamentos, conectividade com a rede corporativa
e serviços adicionais a serem fornecidos.......................................... 15
8 Anexos............................................................................................................................ 24
9 Referência bibliográfica............................................................................................... 24
1 Resumo
Este relatório é parte integrante do Contrato nº: 014/2013, Processo SGP 48456/2013, celebrado entre a
Secretaria de Governo do Governo do Estado de São Paulo – SGP – e o CPqD.
O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de
data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web
sejam competitivos.
Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a
contratação de serviços de data center que será utilizado pelos órgãos do Estado.
Antes de definir quais requisitos são desejáveis na contratação de um data center, o contratante deve
analisar cada informação ou sistema que migrará para um provedor de data center, independente da
modalidade (colocation ou hospedagem). De fato, conforme exposto no item 4.1 do relatório
PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de data center” as
informações devem ser classificadas quanto à sua: confidencialidade, limitando seu acesso apenas à
entidades legítimas, autorizadas pelo detentor da informação; integridade, garantindo que a informação
detém as características originais estabelecidas pelo seu detentor durante todo seu ciclo de vida; e
disponibilidade, garantindo que a informação esteja sempre disponível para um acesso legítimo.
Para se garantir que os serviços contratados estejam atendendo de maneira adequada aos requisitos de
confidencialidade, integridade e disponibilidade, deve-se buscar sempre contratar uma infraestrutura
compatível com as necessidades identificadas. Em outras palavras, nem sempre é necessário se contratar
um data center Tier IV, quando um Tier II atende plenamente às necessidades do contratante. De fato,
níveis crescentes de serviço invariavelmente implicam em prêmios sobre os preços, uma vez que são
obtidos com uso de equipamentos e infraestrutura redundante.
Atualmente, a categorização mais empregada para se diferenciar data centers é aquela proposta pelo The
Uptime Institute [1], que os classifica em Tiers que vão de I a IV, conforme o grau de serviço que são
capazes de entregar. Maiores índices de disponibilidade são atingidos à custa de redundâncias cada vez
maiores, obtidas por meio de investimentos e custos de operação crescentes, os quais se projetam nos
preços cobrados de seus clientes.
A Tabela 1 apresenta sinteticamente alguns números em função do Tier em que se enquadra determinado
data center. Data centers que não se enquadram em nenhuma das categorias apresentadas são
considerados como estrutura não classificada ou não garantida.
Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data
center, abrangendo desde aspectos relacionados ao ambiente do data center, conectividade a internet,
conectividade entre equipamentos, conectividade com a rede corporativa, segurança física, segurança
lógica, segurança elétrica, espaço de armazenamento e SLA para os serviços contratados.
Uma vez definidos os tipos de serviço que se pretende colocar em infraestrutura terceirizada, pode-se
então definir o quão apertados se desejam os requisitos dessa infraestrutura. No âmbito deste trabalho,
criou-se uma metodologia com o objetivo de orientar a seleção desses requisitos.
Essa metodologia parte da classificação da informação ou sistema que se deseja colocar ou hospedar em
infraestrutura de terceiros com base nos preceitos preconizados na norma ABNT NBR ISO/IEC 27001.
Em outras palavras, o detentor da informação ou sistema classifica-os com base nos critérios de
confidencialidade, integridade e disponibilidade. O quanto mais rígidos forem os requisitos levantados,
mais se exigirá da infraestrutura do terceiro.
Esse processo foi automatizado por meio de uma ferramenta computacional baseada em Microsoft Excel,
que facilita e orienta o usuário na tarefa de classificar adequadamente sua informação ou sistema. Como
resultado, aponta o tipo mais adequado de data center a ser contratado pela administração pública,
contribuindo para que esta efetue contratações de infraestrutura mais eficazes e eficientes.
2 Introdução
O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de
data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web
sejam competitivos.
Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a
contratação de serviços de data center que será utilizado pelos órgãos do Estado.
O presente documento encontra-se dividido da seguinte forma: a seção 3 apresenta uma proposta para
classificação das informações e sistemas que, eventualmente, serão transferidas para um data center
operado por terceiro; a seção 4 recapitula algumas considerações acerca dos níveis de data center segundo
a norma ANSI/TIA 942, ao passo que a seção 5 apresenta os diversos fatores-chave requeridos pelos data
centers para conseguirem atingir esses níveis de serviço; a seção 6 apresenta uma metodologia para
classificar os serviços, relacionando-os a necessidades de infraestrutura de data center; finalmente, a
seção 7 apresenta as considerações finais deste documento.
3.1 Confidencialidade:
De acordo com a Norma ISO 27001:2006, a confidencialidade da informação deve ser mantida
considerando os seguintes objetivos de controle.
A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade
para a organização. Esta classificação deve ser feita pela secretaria ou órgão antes de disponibiliza-la para
a hospedagem em um ambiente contratado, seja por hospedagem ou por colocation.
Antes da contratação de um serviço onde há manipulação das informações, a secretaria ou órgão deve
assegurar que os funcionários da CONTRATADA, fornecedores e terceiros entendam suas
responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso
de recursos. Para isso, o CONTRATANTE deve verificar se há um processo de assinatura mediante aos
Termos e condições de contratação garantindo que os funcionários da CONTRATADA como parte das
suas obrigações contratuais, fornecedores e terceiros devem concordar e assinar os termos e condições de
sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e da organização para
a segurança da informação.
Todos os registros devem ser protegidos contra falsificação ou alteração do conteúdo por meio de
políticas de segurança ou auditorias / permissão por segregação de função.
Deve existir um procedimento formal para liberação e revogação de acesso indevido às informações da
CONTRATANTE pela CONTRATADA com periodicidade controlada.
3.2 Integridade:
A integridade dos dados enviados para a CONTRATADA deve ser garantida contratualmente. Dados
armazenados no ambiente do Data Center não devem ser corrompidos, violados ou mesmo perdidos. Para
tanto, deve-se considerar os seguintes objetivos.
Barreiras para acesso indevido devem ser implementadas. Perímetros de segurança devem ser aplicados
na CONTRATADA de forma a evitar o acesso de pessoas não autorizadas aos locais de guarda das
informações.
As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente
pessoas autorizadas tenham acesso. A CONTRATADA deve ter processos de controle para garantir que
somente pessoas autorizadas (seja para operação no Data center ou por Entrega de cargas) tenham acesso
às dependências do Data Center; dependendo do nível de TIER escolhido, o acesso ao estacionamento
deve ser restrito conforme mostra Tabela 2.
O item da Tabela 2 refere-se ao item A.9.1.6 da norma ISO 27001:2006 que trata do item de controle:
“Acesso do público, áreas de entrega e de carregamento”.
A CONTRATADA deve ter um processo para controlar o local ou protegidos para reduzir os riscos de
ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.
3.2.4 Utilidades
Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por
falhas das utilidades. Este item é apresentado na Tabela 3 dos requisitos ANSI/ TIA 942 a seguir.
A CONTRATADA deve ter procedimentos específicos para descarte de equipamentos que contenham
mídia reutilizável e informações da CONTRATANTE. Todos os equipamentos que contenham mídias de
armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados
sensíveis e softwares licenciados tenham sido removidos com segurança. Dependendo da criticidade do
sistema da Secretaria ou órgão o mesmo pode requerer da CONTRATADA hardware exclusivo para
utilização. Este item também se aplica para confidencialidade 3.1
No caso mais específico da modalidade colocation, equipamentos, informações ou software não devem
ser retirados do local sem autorização prévia da secretaria ou órgão (CONTRATANTE). Este item
também se aplica para confidencialidade 3.1.
Cabe ressaltar que outras considerações podem ser acrescidas a este documento conforme necessidade da
CONTRATANTE.
3.3 Disponibilidade
A disponibilidade dos sistemas da CONTRATANTE deve ser contratada conforme diretrizes de SLA
(Service Level Agreement) deste documento no item 5.7. Como forma de minimizar o risco de
indisponibilidade, a CONTRATANTE deverá observar, na CONTRATADA, entre outros, os aspectos a
seguir.
Deve ser obtida informação em tempo hábil pela CONTRATADA sobre vulnerabilidades técnicas dos
sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas
as medidas apropriadas para lidar com os riscos associados. Em quaisquer decisões tomadas pela
CONTRATADA, a CONTRATANTE deve ser informada imediatamente.
Notificação de eventos de segurança da informação: Eventos devem ser comunicados o mais rápido
possível aos canais de comunicação estabelecidos entre a CONTRATANTE e a CONTRATADA;
Responsabilidades e procedimentos: Responsabilidades e procedimentos de gestão devem ser
estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da
informação. Os procedimentos para identificação de incidentes de segurança da informação devem
estar atualizados.
Análise/avaliação de risco: Devem ser identificados os eventos que podem causar interrupções aos
processos de negócio, junto com a probabilidade e impacto de tais interrupções e as consequências
para a segurança de informação e aos dados contidos em seu poder;
Implementação de planos de continuidade relativos à segurança da informação: Os planos devem
ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para
assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após
a ocorrência de interrupções ou falhas dos processos críticos do negócio.
Além disso, o CONTRATANTE deve assegurar que o provedor será contratualmente proibido do uso dos
dados que não seja para o propósito para o qual foi contratado. O CONTRATANTE deve assegurar via
contrato que o provedor de serviço proteja os seus dados, independente se o provedor esteja local no
próprio país ou fora do país de origem do CONTRATANTE. Quando a operação do provedor ocorre fora
do país, o CONTRATANTE deve se precaver se esta requisição poderá ser atendida em virtude da
legislação local.
Para se garantir que os serviços contratados estejam atendendo de maneira adequada às necessidades
elencadas, deve-se buscar sempre contratar uma infraestrutura compatível com os requisitos funcionais
acima descritos. Em outras palavras, nem sempre é necessário se contratar um data center Tier IV, quando
um Tier II atende plenamente às necessidades do contratante. A seção 5 descreverá em detalhe os
requisitos que um data center deve cumprir em função de seu nível de serviço. Antes, contudo, a seção a
seguir relembra os diferentes níveis de data center conforme a norma ANSI/TIA 942.
De maneira resumida, os data centers são categorizados em quatro níveis, ou tiers, descritos na Tabela 4,
onde são classificados por sua disponibilidade e credibilidade das informações.
Classe/Tier Requisitos
Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data
center. A seção a seguir apresenta em maior detalhe os requisitos acima indicados.
Localização: A construção deve evitar locais onde sua expansão seja prejudicada por limites físicos
ou mesmo limites naturais como montanhas, rios, lagos ou limites com rodovias. De acordo com a
ANSI / TIA 942 algumas considerações devem ser feitas de acordo com a classe do Data center.
Acesso redundante ao local. Duas vias de acesso para o Data Center. No caso do impedimento de
uma das vias, a outra pode e deve ser utilizada como meio de acessar fisicamente o ambiente do
Data Center.
Capacidade de Entrega de grandes equipamentos. O Acesso às dependências do Data Center não
devem ser restritivas a grandes conteúdos tais como: Grandes Storages, Mainframes, caminhões de
carga e outros.
De preferência em locais livres de interferências eletromagnéticas de alta potência que possam
prejudicar as instalações e servidores.
Construção sem acesso ao ambiente exterior tais como: janelas, vidros, divisórias como forma de
impedir acessos não autorizados e também fatores de exposição ao meio-ambiente (chuvas, ventos
fortes ou até inundações, furacões)
Monitoramento e controle de acesso ao recinto do Data Center. Os acessos às dependências do Data
Center devem ser controlados. Nenhum funcionário da empresa de Data Center, visitante, terceiro
ou mesmo funcionário da CONTRATANTE deve ter livre acesso às dependências sem um devido
controle e acompanhamento da CONTRATADA.
Tamanho Físico do Data Center: Não há uma fórmula. Os requerimentos de expansão da
CONTRATADA não devem ser limitados;
Iluminação: O circuito da iluminação do Data Center deve ser separado dos demais. Deve conter
iluminação de emergência assim como sinalização de saída de emergência.
Sistema de condicionamento do ambiente: Preferencialmente deve conter sistema HVAC com
controle de temperatura e humidade. Parâmetros dos servidores do CONTRATANTE devem ser
considerados.
Fisicamente
separados por
Separação de entrada de Fisicamente muros ou
Compar lhado Compar lhado Compar lhado
cargas separados separadores com
entrada de acesso
dis nta
Proximidade do Mínimo de 10 Mínimo de 20
estacionamento de visitantes N/A N/A N/A metros sem metros sem acesso
até o prédio do Data Center acesso a veículos a veículos
Permi do se todas Permi do se todas
as empresas as empresas
alocadas no alocadas no prédio
Compar lhamento de
N/A N/A N/A prédio forem forem referentes
estrutura do prédio
referentes aos aos serviços
serviços prestados prestados no Data
no Data Center Center
Construção Civil
Type IIA, IIIA, or Type IA or IB
Tipo de construção N/A N/A N/A VA (modelo (modelo
americano) americano)
Componentes da Construção
Possui barreiras de vapor nas
paredes e salas des nadas a
N/A N/A N/A Sim Sim
hospedagem de
equipamentos
Suspenso com Suspenso com
reves mento em reves mento em
Teto e forros N/A N/A N/A
placa de gesso e placa de gesso e
telhas de cerâmica telhas de cerâmica
Portas e Janelas
Largura portas de acesso N/A N/A N/A Entre 1m a 2,20m Entre 1,2m a 2,20m
Com proteção
Janelas na sala de
N/A N/A (barras, vidros Não Permi do Não Permi do
equipamentos
fixos)
Controle de acesso com
Apenas controle Apenas controle Apenas controle
verificação de entrada dupla Sim Sim
(catracas) (catracas) (catracas)
(carona) e controle de acesso
Salas Administra vas
Fisicamente separadas da
N/A N/A Mesmo prédio Sim Sim
estrutura do Data Center
Sala de operações
fisicamente separadas do N/A N/A Mesmo prédio Sim Sim
Data Center
Controle de Acesso ao ambiente
Controle de Controle de Controle de
Centro de Operações de Controle de Controle de acesso
acesso via acesso via acesso via
Segurança acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de Controle de
Controle de Controle de acesso
Centro de Operações de Rede acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de Controle de
Controle de Controle de acesso
Sala de Equipamentos acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de
Controle de acesso
acesso via acesso via cartão
Controle de Controle de via cartão para
cartão para para entrada e
Sala de Servidores acesso via acesso via entrada e saída e
entrada e saída saída e
cartão cartão iden ficação
e iden ficação iden ficação
biométrica
biométrica biométrica
Controle de Controle de Controle de
Controle de Controle de acesso
Acesso ao prédio acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Circuito Interno de Câmeras de Segurança
Perímetro de prédio e
Somente prédio Sim Sim Sim Sim
estacionamento
Sistema interrupção energia N/A N/A Sim Sim Sim
Portas controladas N/A Sim Sim Sim Sim
Sala do datacenter Sim Sim Sim Sim Yes
Circuito Interno de Câmeras de Segurança - Retenção Imagens
Gravação das imagens N/A Sim Sim Sim, digital Sim, digital
Taxa de gravação de quadros N/A N/A N/A 20 quadros/s 20 quadros/s
Devem ser fornecidos endereços IP válidos em número suficiente para contemplar os servidores da
contratante, além disso toda conexão deve ser redundante, evitando indisponibilidade do serviço.
Para fins de proteção lógica, junto com o serviço de conectividade a internet, deverá ser fornecida pela
CONTRATADA, equipamento firewall. A instalação e operação deste firewall ficarão sob
responsabilidade da CONTRATADA. A CONTRATANTE irá especificar as regras de firewall e a
CONTRATADA irá fazer a programação necessária no mesmo.
· Aplicação de VLANs.
A aplicação de VLANs é necessária para contemplar a segurança e SLA requeridos neste documento.
Para fins de conectividade com a rede corporativa do Sistema da secretaria ou órgão, a CONTRATADA
será responsável por prover os meios necessários, dentro de suas instalações, visando prover a plena
interconexão com os provedores de rede indicados pela Secretaria, órgão. Dentre outros, estes meios ou
facilidades podem ser: duto de acesso ao prédio, ponto energia, espaço para instalação do equipamento
terminal, cabeamento para conexão interna e demais facilidades necessárias.
Todos os custos referentes a estas facilidades serão de responsabilidade da empresa contratada. Esta
deverá ainda autorizar, mediante comunicado oficial da contratante, a entrada e a execução do serviço de
instalação destes links por parte dos técnicos dos fornecedores destes serviços. O Data Center deverá
fornecer serviço operacional de reset dos equipamentos da CONTRATANTE a partir de abertura de
chamado / solicitação por telefone ou e-mail.
O Data Center deverá fornecer serviço de manipulação e armazenagem, em sala cofre, das fitas de backup
operadas por equipamento contratado ou de responsabilidade da Contratante. Todas as normas de
manipulação e armazenagem devem seguir os itens da norma ISO27001 como melhores práticas de
mercado.
Caso a empresa proponente não possua sala cofre, deverá considerar o uso de sala cofre em empresas
especializadas neste tipo de serviço sem custo adicional, mesmo quando for necessário o deslocamento de
fitas entre o Datacenter e a Sala Cofre, além disso, deverá respeitar os requisitos técnicos para transporte
e armazenagem, podendo sofrer auditoria por parte da contratante para a garantia do fornecimento.
O Data Center deverá estar equipado com sistema de climatização adequada e de alta disponibilidade (Ar-
condicionado com redundância n+1), de preferência por sistema de insuflamento. As características de
climatização deverão seguir regras da Norma TIA 942.
O Data Center deverá possuir sistema e solução de combate a incêndio com sensores de fumaça,
extintores de incêndio e sistema gasoso, que permita uma ação rápida e eficiente no combate a possíveis
focos de incêndio não importando sua classificação. A extinção de incêndio deverá ser feita com métodos
que não prejudiquem o funcionamento dos equipamentos da secretaria ou órgão, por exemplo com
sistemas gasosos do tipo FM200 ou INERGEN (no caso de informações elencadas para TIER III ou TIER
IV.
Os equipamentos da secretaria ou órgão deverão ser instalados em racks que atendem a norma IEC 297-1
observando principalmente:
· O limite de fornecimento de energia por rack especificado pelo fabricante deste terá que estar
adequado a potência nominal dos equipamentos da CONTRATANTE dispostos dentro do
mesmo.
· A temperatura dentro do rack terá que permanecer dentro dos limites máximos especificados
pelos fabricantes dos equipamentos da CONTRATANTE;
A Sala-Cofre, onde serão armazenadas as fitas de backup, deverá ter os seguintes requisitos:
· Em caso de condicionar as fitas dentro de um Cofre anti-chamas, o mesmo deve ser guardado
em local reservado, com controle de acesso e sem visibilidade para meios externos;
· Sistema de extinção de incêndio que não danifique as fitas;
o Fogo;
o Fumaça;
o Gases corrosivos;
o Água;
o Acesso indevido;
o Explosão;
o Poeira;
o Arma de fogo e
o Pulso eletromagnético.
Para a conectividade com a internet, a solução de firewall fornecida deverá possibilitar a aplicação de
NAT e a criação de políticas de regras de segurança básicas e avançadas utilizando filtros de software
para restrições de portas e filtros de hardware que contemplem, no mínimo:
O provimento interno de energia deverá ser feito de tal forma que estejam disponíveis duas entradas de
energia com alimentação redundante. Caso haja falha no fornecimento de energia em uma das entradas
por qualquer motivo físico ou elétrico, a outra deverá continuar fornecendo energia aos equipamentos da
CONTRATANTE;
Cada régua de energia deverá ter a quantidade de pontos de energia requisitados pelos equipamentos da
CONTRATANTE e suportar o consumo da potência nominal prevista nos equipamentos fornecidos pela
mesma.
Para fins de redundância no fornecimento de energia, o Data Center deve complementar a infraestrutura
de energia elétrica através de grupo motor-gerador e nobreak (redundância n+1 ou de acordo com a
Tabela 4 pelo nível de data center contratado). O nobreak deve assumir a alimentação dos equipamentos
do Data Center na falta de energia da concessionária até que o grupo motor-gerador entre em operação,
garantindo assim o suprimento contínuo e ininterrupto de energia elétrica aos equipamentos da
CONTRATANTE.
O grupo motor-gerador deverá possuir a autonomia necessária para suprir a energia necessária aos
equipamentos enquanto a concessionária de energia não voltar a fornecer a energia necessária. Para tanto
deverá haver um processo de abastecimento monitorado de combustível no grupo moto-gerador e
entregue ao Contratante no momento da assinatura do contrato.
Os requisitos de elétrica conforme a ANSI/TIA 942 estão exemplificados na Tabela 6 e contidas no anexo
I deste documento;
Nível de Serviço (SLA) acordado: deverá seguir os padrões da Tabela 4, sendo este indicador medido
mensalmente.
Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de
horas no período.
SI = SIAP + ½*SIMP
Sendo:
Conceito: Disponibilidade da conectividade dos equipamentos dispostos no Data Center com qualquer
outro equipamento disponível na internet.
Nível de Serviço (SLA) acordado: tempo disponível de acordo com a Tabela 4, sendo este indicador
medido mensalmente.
Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de
horas no período.
Em caso da conectividade a internet operar com mais de 10% de perda de pacotes, o tempo que durar esta
instabilidade será contabilizado como tempo de indisponibilidade da conectividade a internet afetando
este SLA correspondente.
A Disponibilidade do serviço de Internet pela contratada deverá seguir os padrões da Tabela 4 conforme
classificação do Serviço em questão pela secretaria ou órgão.
Conceito: A demanda de tráfego a internet dos equipamentos dispostos no Data Center assim como dos
demais equipamentos dispostos nas redes gerenciadas pelo Sistema da secretaria ou órgão deverá ser
atendida pelo serviço de conectividade a internet até o limite da velocidade contratada especificada pela
secretaria ou órgão. Acima deste limite contratado, o trafego poderá ser descartado.
Nível de Serviço (SLA) acordado: disponibilidade de acordo com a Tabela 4, sendo este indicador
medido mensalmente.
Cálculo: SLA realizado = (total de horas no período – total de horas de indisponibilidade) / total de horas
no período.
Os chamados devem ser encaminhados pela CONTRATADA no intuito de resolver em primeiro nível em
torno de 90% dos chamados abertos pela CONTRATANTE.
Tão importante para a Contratada quanto à sua disponibilidade é a sua rapidez e eficiência em resolver os
chamados críticos para a CONTRATANTE.
Para isso, a contratada deve seguir uma metodologia de gerenciamento de incidentes, problemas,
mudanças e todos os demais previstos no ITIL V3 em sua completude.
O passo a passo dessa metodologia de classificação e seleção consiste em três fases, e encontra-se
descrito nas subseções a seguir.
Assim, a fase 1 compreende, inicialmente, classificar o sistema de acordo com sua confidencialidade, de
acordo com o destaque da Figura 2. Considere-se, por exemplo, um sistema de emissão de tabela de
horários de transporte público. Este sistema pode ser considerado como um sistema de baixa
confidencialidade.
Figura 2 – Classificação do sistema com relação ao critério confidencialidade
Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua integridade e
disponibilidade.
Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua disponibilidade.
Deve-se considerar que a disponibilidade mínima deverá estar de acordo com a Tabela 4 deste relatório.
A combinação dos três aspectos avaliados redundará em uma classificação de data center sugerida para
contratação, conforme mostrado na Figura 6.
Como referência, esta sugestão apresentada na Figura 6 deverá nortear as decisões por classificação das
informações e também para contratação de um serviço de datacenter nos modelos do relatório de
consultoria [Referência 1].
Ainda como referência deve-se considerar os requisitos da Figura 7 como os requisitos necessários para o
atingimento, pelo fornecedor contratado, dos requisitos necessários em função dos diversos TIER de
datacenter, conforme a ANSI/TIA 942.
Figura 7 – Características do TIER de Datacenter
Adicionalmente, como boa prática, um certificado emitido e válido para a classificação do datacenter
deve ser exigido pela CONTRATANTE no momento da contratação do serviço. A tabela da Figura 7
apresenta em fundo preto destacado de forma automática as características a serem seguidas pela
CONTRATADA de acordo com o resultado da Figura 6.
Vale lembrar que estes requisitos apresentados na Figura 7 são norteadores para uma decisão embasada.
Para que este método de classificação do data center seja efetivo, a secretaria ou órgão deve classificar
seus sistemas e informações antecipadamente à classificação pela planilha da Figura 6. Esta
responsabilidade da classificação cabe ao dono da informação, com as devidas aprovações, conforme
[Referência 2].
Para tanto, fez-se o levantamento de todas as informações relevantes para a especificação de contratação
de serviços de data centers, considerando os níveis de segurança lógica, elétrica e física, além de questões
de conectividade, espaço, disponibilidade e modelagem de informações necessárias.
Em seguida, vincularam-se esses requisitos aos níveis de serviço oferecidos por empresas prestadoras
desse tipo de infraestrutura. A partir daí, criou-se uma metodologia que permite tipificar os diversos
serviços passíveis de transferência à uma infraestrutura terceirizada, relacionando-os ao tipo mais
adequado de data center a ser buscado quando no momento da contratação.
Pelo presente instrumento, automatizado por meio de ferramenta computacional implantada em Microsoft
Excel, a administração pública do Estado de São Paulo poderá classificar qualquer serviço que se
apresente futuramente, com vistas à sua eventual colocação ou hospedagem em data center de empresa
terceirizada.
8 Anexos
Constituem parte integrante deste documento as planilhas em formato Microsoft Excel contidas no
arquivo “Abordagem_diagnóstico_DATACENTER_FINAL_V2.xlsx”.
9 Referência bibliográfica
[Referência 1] PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de
data center”.
[Referência 2] ABNT – Associação Brasileira De Normas Técnicas. ABNT NBR ISO/IEC 27001 -
Tecnologia Da Informação - Técnicas De Segurança – Sistemas De Gestão De Segurança Da Informação
- Requisitos. ABNT, 2006.
[1] Adaptados de “Data Center Site Infrastructure Tier Standard: Topology”, de Uptime Institute, LCC.