Contratação de Serviços em Data Center

Fatores-Chave para Contratação

Secretaria de Governo
DO ESTADO DE SÃO PAULO
SUMÁRIO

1 Resumo............................................................................................................................ 4

2 Introdução........................................................................................................................ 6

3 Considerações sobre a classificação da informação a ser armazenada................. 6

3.1 Confidencialidade:................................................................................................... 6

3.1.1 Acordos de confidencialidade............................................................................ 6

3.1.2 Processo de autorização para os recursos de processamento da informação 6

3.1.3 Identificando segurança da informação nos acordos com terceiros................. 6

3.1.4 Recomendações para classificação.................................................................. 7

3.1.5 Segurança em recursos humanos..................................................................... 7

3.1.6 Registros de auditoria......................................................................................... 7

3.1.7 Proteção das informações dos registros (logs).................................................. 7

3.1.8 Registros (log) de administrador e operador...................................................... 7

3.1.9 Registro de usuário............................................................................................. 7

3.2 Integridade:.............................................................................................................. 7

3.2.1 Perímetro de segurança física........................................................................... 7

3.2.2 Controles de entrada física................................................................................. 7

3.2.3 Instalação e proteção do equipamento.............................................................. 8

3.2.4 Utilidades............................................................................................................ 8

3.2.5 Manutenção dos equipamentos......................................................................... 9

3.2.6 Reutilização e alienação segura de equipamentos............................................ 9

3.2.7 Remoção de propriedade................................................................................... 9

3.2.8 Procedimentos e responsabilidades operacionais............................................. 9

3.3 Disponibilidade....................................................................................................... 10

3.3.1 Controle de vulnerabilidades técnicas.............................................................. 10

3.3.2 Notificação de fragilidades e eventos de segurança da informação............... 10

3.3.3 Gestão da continuidade do negócio................................................................. 11

4 Considerações sobre os níveis de Data Center segundo a ANSI/TIA 942............. 11

5 Requisitos para data centers....................................................................................... 12

5.1 Considerações sobre o ambiente do data center.................................................. 12

5.2 Conectividade a internet, conectividade entre equipamentos, conectividade com a rede corporativa
e serviços adicionais a serem fornecidos.......................................... 15

5.3 Requisitos para a segurança física........................................................................ 16

5.4 Requisitos para a segurança lógica....................................................................... 17

5.5 Requisitos para a segurança elétrica..................................................................... 17

5.6 Requisitos sobre espaço de armazenamento....................................................... 18

5.7 Requisitos de SLA para os serviços contratados.................................................. 19

5.7.1 Disponibilidade da Infraestrutura básica do Data Center................................. 19

5.7.2 Disponibilidade da conectividade à internet..................................................... 20

5.7.3 Desempenho da conectividade a internet........................................................ 20

5.7.4 Atendimento de Service Desk......................................................................... 20

6 Matriz de classificação das informações e sistemas................................................ 21

6.1 Fase 1: Confidencialidade..................................................................................... 21

6.2 Fase 2: Integridade................................................................................................ 22

6.3 Fase 3: Disponibilidade.......................................................................................... 22

7 Conclusões e considerações finais............................................................................ 24

8 Anexos............................................................................................................................ 24

9 Referência bibliográfica............................................................................................... 24
1 Resumo
Este relatório é parte integrante do Contrato nº: 014/2013, Processo SGP 48456/2013, celebrado entre a
Secretaria de Governo do Governo do Estado de São Paulo – SGP – e o CPqD.

O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de
data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web
sejam competitivos.

Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a
contratação de serviços de data center que será utilizado pelos órgãos do Estado.

Este documento consolida os resultados das atividades 2 e 3, que compreendem, respectivamente o

levantamento dos fatores-chave na definição de contratação e a elaboração de uma metodologia que
relacione requisitos de data center ao tipo de serviço. Na primeira, faz-se o levantamento de todas as
informações relevantes para a especificação de contratação de serviços de data centers, considerando os
níveis de segurança lógica, elétrica e física, além de questões de conectividade, espaço, disponibilidade e
modelagem de informações. Na segunda, são descritas as necessidades de um data center de acordo com
tipo de serviço a ser hospedado e frente à importância dos fatores-chave.

Antes de definir quais requisitos são desejáveis na contratação de um data center, o contratante deve
analisar cada informação ou sistema que migrará para um provedor de data center, independente da
modalidade (colocation ou hospedagem). De fato, conforme exposto no item 4.1 do relatório
PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de data center” as
informações devem ser classificadas quanto à sua: confidencialidade, limitando seu acesso apenas à
entidades legítimas, autorizadas pelo detentor da informação; integridade, garantindo que a informação
detém as características originais estabelecidas pelo seu detentor durante todo seu ciclo de vida; e
disponibilidade, garantindo que a informação esteja sempre disponível para um acesso legítimo.

Para se garantir que os serviços contratados estejam atendendo de maneira adequada aos requisitos de
confidencialidade, integridade e disponibilidade, deve-se buscar sempre contratar uma infraestrutura
compatível com as necessidades identificadas. Em outras palavras, nem sempre é necessário se contratar
um data center Tier IV, quando um Tier II atende plenamente às necessidades do contratante. De fato,
níveis crescentes de serviço invariavelmente implicam em prêmios sobre os preços, uma vez que são
obtidos com uso de equipamentos e infraestrutura redundante.

Atualmente, a categorização mais empregada para se diferenciar data centers é aquela proposta pelo The
Uptime Institute [1], que os classifica em Tiers que vão de I a IV, conforme o grau de serviço que são
capazes de entregar. Maiores índices de disponibilidade são atingidos à custa de redundâncias cada vez
maiores, obtidas por meio de investimentos e custos de operação crescentes, os quais se projetam nos
preços cobrados de seus clientes.

A Tabela 1 apresenta sinteticamente alguns números em função do Tier em que se enquadra determinado
data center. Data centers que não se enquadram em nenhuma das categorias apresentadas são
considerados como estrutura não classificada ou não garantida.

Tabela 1 Comparação de especificações entre Tiers[2]

Requisito Tier I Tier II Tier III Tier IV

Número de caminhos de distribuição 1 1 1 Ativo e 1 Passivo 2 Ativo
Componentes redundantes N N+1 N+1 2 (N+1)
 Tempo de indisponibilidade no ano 28,8 hrs 22,0 hrs 1,6 hrs 0,4 hrs
Disponibilidade do site 99,671% 99,749% 99,982% 99,995%

Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data
center, abrangendo desde aspectos relacionados ao ambiente do data center, conectividade a internet,
conectividade entre equipamentos, conectividade com a rede corporativa, segurança física, segurança
lógica, segurança elétrica, espaço de armazenamento e SLA para os serviços contratados.

Uma vez definidos os tipos de serviço que se pretende colocar em infraestrutura terceirizada, pode-se
então definir o quão apertados se desejam os requisitos dessa infraestrutura. No âmbito deste trabalho,
criou-se uma metodologia com o objetivo de orientar a seleção desses requisitos.

Essa metodologia parte da classificação da informação ou sistema que se deseja colocar ou hospedar em
infraestrutura de terceiros com base nos preceitos preconizados na norma ABNT NBR ISO/IEC 27001.

Em outras palavras, o detentor da informação ou sistema classifica-os com base nos critérios de
confidencialidade, integridade e disponibilidade. O quanto mais rígidos forem os requisitos levantados,
mais se exigirá da infraestrutura do terceiro.

Esse processo foi automatizado por meio de uma ferramenta computacional baseada em Microsoft Excel,
que facilita e orienta o usuário na tarefa de classificar adequadamente sua informação ou sistema. Como
resultado, aponta o tipo mais adequado de data center a ser contratado pela administração pública,
contribuindo para que esta efetue contratações de infraestrutura mais eficazes e eficientes.
2 Introdução
O objetivo deste plano de trabalho é a realização de estudos de mercado com opções de contratação de
data center para serviços não críticos de forma que os preços de hospedagem de sítios e sistemas web
sejam competitivos.

Esses estudos têm por objetivo fornecer subsídios para a criação de um guia de melhores práticas para a
contratação de serviços de data center que será utilizado pelos órgãos do Estado.

Este relatório consolida os resultados das atividades 2 e 3, que compreendem, respectivamente o

levantamento dos fatores-chave na definição de contratação e a elaboração de matriz de necessidades por
tipo de serviço. Na primeira, faz-se o levantamento de todas as informações relevantes para a
especificação de contratação de serviços de datacenters, considerando os níveis de segurança lógica,
elétrica e física, além de questões de conectividade, espaço, disponibilidade e modelagem de
informações. Na segunda, são descritas as necessidades de um datacenter de acordo com tipo de serviço a
ser hospedado e frente à importância dos fatores-chave.

O presente documento encontra-se dividido da seguinte forma: a seção 3 apresenta uma proposta para
classificação das informações e sistemas que, eventualmente, serão transferidas para um data center
operado por terceiro; a seção 4 recapitula algumas considerações acerca dos níveis de data center segundo
a norma ANSI/TIA 942, ao passo que a seção 5 apresenta os diversos fatores-chave requeridos pelos data
centers para conseguirem atingir esses níveis de serviço; a seção 6 apresenta uma metodologia para
classificar os serviços, relacionando-os a necessidades de infraestrutura de data center; finalmente, a
seção 7 apresenta as considerações finais deste documento.

3 Considerações sobre a classificação da

informação a ser armazenada
O CONTRATANTE deve analisar cada informação ou sistema que migrará para um provedor de data
center, independente da modalidade (colocation ou hospedagem). As informações devem ser classificadas
quanto à sua confidencialidade, integridade e disponibilidade. Esses quesitos são descritos nas subseções
a seguir.

3.1 Confidencialidade:
De acordo com a Norma ISO 27001:2006, a confidencialidade da informação deve ser mantida
considerando os seguintes objetivos de controle.

3.1.1 Acordos de confidencialidade

Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da

organização para a proteção da informação devem ser identificados e analisados criticamente, de forma
regular, ou seja, a informação ou sistema deve ser classificado pela secretaria ou órgão antes de enviá-la à
CONTRATADA e este controle deve ser revisto em periodicidade regular.

3.1.2 Processo de autorização para os recursos de processamento da informação

Deve ser definido e implementado um processo de gestão de autorização para novos recursos de
processamento da informação pela secretaria ou órgão. Isto se deve ao fato da informação, assim que
hospedada na CONTRATADA possa ser autorizada devidamente para seu acesso.

3.1.3 Identificando segurança da informação nos acordos com terceiros

Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos

recursos de processamento da informação ou da informação da organização, devem cobrir todos os
requisitos de segurança da informação relevantes. Em outras palavras, os acordos de confidencialidade
devem ser considerados também para acordo envolvendo terceiros da CONTRATADA.

3.1.4 Recomendações para classificação

A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade
para a organização. Esta classificação deve ser feita pela secretaria ou órgão antes de disponibiliza-la para
a hospedagem em um ambiente contratado, seja por hospedagem ou por colocation.

3.1.5 Segurança em recursos humanos

Antes da contratação de um serviço onde há manipulação das informações, a secretaria ou órgão deve
assegurar que os funcionários da CONTRATADA, fornecedores e terceiros entendam suas
responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso
de recursos. Para isso, o CONTRATANTE deve verificar se há um processo de assinatura mediante aos
Termos e condições de contratação garantindo que os funcionários da CONTRATADA como parte das
suas obrigações contratuais, fornecedores e terceiros devem concordar e assinar os termos e condições de
sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e da organização para
a segurança da informação.

3.1.6 Registros de auditoria

Registros contendo atividades executadas pelos usuários da CONTRATADA (obrigatório) e

CONTRATANTE (quando possível), exceções e outros eventos de segurança da informação devem ser
produzidos e mantidos por um período de tempo acordado entre as partes para auxiliar em futuras
investigações e monitoramento de controle de acesso.

3.1.7 Proteção das informações dos registros (logs)

Todos os registros devem ser protegidos contra falsificação ou alteração do conteúdo por meio de
políticas de segurança ou auditorias / permissão por segregação de função.

3.1.8 Registros (log) de administrador e operador

Os logs de informação das atividades dos operadores e administradores da CONTRATADA e

CONTRATANTE devem ser registrados seguindo os itens de Proteção das informações dos registros
(logs) acima citado. Todos os itens de Gerenciamento do usuários da norma ISO27001:2006 devem ser
considerados pela CONTRATADA:

3.1.9 Registro de usuário

Deve existir um procedimento formal para liberação e revogação de acesso indevido às informações da
CONTRATANTE pela CONTRATADA com periodicidade controlada.

3.2 Integridade:
A integridade dos dados enviados para a CONTRATADA deve ser garantida contratualmente. Dados
armazenados no ambiente do Data Center não devem ser corrompidos, violados ou mesmo perdidos. Para
tanto, deve-se considerar os seguintes objetivos.

3.2.1 Perímetro de segurança física

Barreiras para acesso indevido devem ser implementadas. Perímetros de segurança devem ser aplicados
na CONTRATADA de forma a evitar o acesso de pessoas não autorizadas aos locais de guarda das
informações.

3.2.2 Controles de entrada física

As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente
pessoas autorizadas tenham acesso. A CONTRATADA deve ter processos de controle para garantir que
somente pessoas autorizadas (seja para operação no Data center ou por Entrega de cargas) tenham acesso
às dependências do Data Center; dependendo do nível de TIER escolhido, o acesso ao estacionamento
deve ser restrito conforme mostra Tabela 2.

Tabela 2 - Controle de acesso ao estacionamento conforme o TIER do data center

Áreas Estruturais Básico Tier 1 Tier 2 Tier 3 Tier 4

Fisicamente
Estacionamento
separados por muros
separado para Fisicamente
Compar lhado Compar lhado Compar lhado ou separadores com
visitantes e separados
entrada de acesso
empregados
dis ntas
Fisicamente
separados por muros
Separação de Fisicamente
Compar lhado Compar lhado Compar lhado ou separadores com
entrada de cargas separados
entrada de acesso
dis ntas
Proximidade do
estacionamento de
Mínimo de 10 metros Mínimo de 20 metros
visitantes até o N/A N/A N/A
sem acesso a veiculos sem acesso a veiculos
prédio do
DataCenter
Permi do se todas as Permi do se todas as
empresas alocadas no empresas alocadas no
Compar lhamento
prédio forem prédio forem
de estrutura do N/A N/A N/A
referentes aos referentes aos
prédio
serviços prestados no serviços prestados no
DataCenter DataCenter

O item da Tabela 2 refere-se ao item A.9.1.6 da norma ISO 27001:2006 que trata do item de controle:
“Acesso do público, áreas de entrega e de carregamento”.

3.2.3 Instalação e proteção do equipamento

A CONTRATADA deve ter um processo para controlar o local ou protegidos para reduzir os riscos de
ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.

3.2.4 Utilidades

Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por
falhas das utilidades. Este item é apresentado na Tabela 3 dos requisitos ANSI/ TIA 942 a seguir.

Tabela 3 - Sistema UPS

 Áreas Estruturais Básico Tier 1 Tier 2 Tier 3 Tier 4
Redundância N+1 2N
Módulos Paralelos
Módulos Paralelos Redundante
Redundante ou módulos de
ou módulos de redundância
Topologia redundância distribuída ou
distribuída ou bloqueio de
bloqueio de sistema
sistema redundante
redundante
Bypass de manutenção Bypass de manutenção
Bypass Automá co
dedicado ao UPS dedicado ao UPS

Panelboard incorporando Panelboard incorporando

Distribuição de saída disjuntores que são disjuntores que são
de Força coordenados em sobrecarga e coordenados em sobrecarga e
falta à terra condição atual falta à terra condição atual

String dedicada a cada

Rede de Baterias String dedicada a cada módulo
módulo
Tipo de Baterias 15 anos 20 anos
Mínimo de Tempo de
10 minutos 15 minutos
Retenção das Baterias
Sistema de
sistema centralizado para
monitoramento das Nível de String por UPS
verificar todas as celulas
Baterias do UPS
Flywheel Permi do Permi do
K-Rated or Harmonic
K-Rated or Harmonic Canceling
Canceling
Transformador Acessivel à manutenção pela
Acessivel à manutenção pela
frontal
frontal

3.2.5 Manutenção dos equipamentos

A CONTRATADA deve ter contratos de manutenção preventiva e corretiva com os fornecedores de

equipamentos ou facilities (utilidades) para minimizar o impacto no caso de falha. Os índices de SLA
devem ser observados pela secretaria ou órgão CONTRATANTE.

3.2.6 Reutilização e alienação segura de equipamentos

A CONTRATADA deve ter procedimentos específicos para descarte de equipamentos que contenham
mídia reutilizável e informações da CONTRATANTE. Todos os equipamentos que contenham mídias de
armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados
sensíveis e softwares licenciados tenham sido removidos com segurança. Dependendo da criticidade do
sistema da Secretaria ou órgão o mesmo pode requerer da CONTRATADA hardware exclusivo para
utilização. Este item também se aplica para confidencialidade 3.1

3.2.7 Remoção de propriedade

No caso mais específico da modalidade colocation, equipamentos, informações ou software não devem
ser retirados do local sem autorização prévia da secretaria ou órgão (CONTRATANTE). Este item
também se aplica para confidencialidade 3.1.

3.2.8 Procedimentos e responsabilidades operacionais

Documentação dos procedimentos de operação: A CONTRATADA deve ter seus procedimentos de

operação registrados e aprovados devidamente. A certificação ISO 9001 deve ser considerado um
diferencial pela Secretaria ou órgão no momento da Contratação;
Gestão de mudanças: Quaisquer mudanças na infraestrutura devem ser regidas pelo processo de
gestão de mudanças tendo como referência o ITIL V3;
Segregação de funções: É tido como boa prática de mercado a segregação de funções dentro dos
procedimentos operacionais em ambientes críticos como de um Data Center como forma de reduzir
 as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da
organização. Este item também se aplica para confidencialidade 3.1;
Separação dos recursos de desenvolvimento, teste e de produção: Os ambientes de
desenvolvimento, teste e produção devem ser separados e, para isso, este conceito deve ser aplicado
na Secretaria ou órgão previamente, para reduzir o risco de acessos ou modificações não
autorizadas aos sistemas operacionais;
Cópias de segurança das informações: A CONTRATADA deve ter um ambiente de cópia de
segurança das informações, testadas e com evidência dos testes. Dependendo da classificação de
TIER do Data Center, o ambiente de backup deve estar fisicamente separado dos Dados a serem
copiados conforme mostra Figura 1;
Mídias em trânsito: Mídias contendo informações da CONTRATANTE devem ser protegidas
contra acesso não autorizado ou alteração indevida durante o transporte externo aos limites físicos
da organização. Para isso, a CONTRATADA deve possuir processos internos para resguardar este
procedimento;
Autenticação para conexão externa do usuário: As conexões externas aos sistemas da
CONTRATANTE pela CONTRATADA devem ser regulamentados, autorizados / revogados com
periodicidade pré-definida;
Restrição de acesso à informação: Deve haver restrições pela política de acesso da CONTRATADA
para acesso de pessoal de aplicação e suporte evitando assim inconsistência dos dados na base da
CONTRATANTE;

Figura 1 - Data Center e Sala de Utilidades separadas

Cabe ressaltar que outras considerações podem ser acrescidas a este documento conforme necessidade da
CONTRATANTE.

3.3 Disponibilidade
A disponibilidade dos sistemas da CONTRATANTE deve ser contratada conforme diretrizes de SLA
(Service Level Agreement) deste documento no item 5.7. Como forma de minimizar o risco de
indisponibilidade, a CONTRATANTE deverá observar, na CONTRATADA, entre outros, os aspectos a
seguir.

3.3.1 Controle de vulnerabilidades técnicas

Deve ser obtida informação em tempo hábil pela CONTRATADA sobre vulnerabilidades técnicas dos
sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas
as medidas apropriadas para lidar com os riscos associados. Em quaisquer decisões tomadas pela
CONTRATADA, a CONTRATANTE deve ser informada imediatamente.

3.3.2 Notificação de fragilidades e eventos de segurança da informação

As fragilidades e eventos de segurança da informação associados aos sistemas da CONTRATANTE

devem ser informados à CONTRATANTE permitindo tempo hábil de resposta à ações corretivas
necessárias:

Notificação de eventos de segurança da informação: Eventos devem ser comunicados o mais rápido
possível aos canais de comunicação estabelecidos entre a CONTRATANTE e a CONTRATADA;
Responsabilidades e procedimentos: Responsabilidades e procedimentos de gestão devem ser
estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da
informação. Os procedimentos para identificação de incidentes de segurança da informação devem
estar atualizados.

3.3.3 Gestão da continuidade do negócio

A CONTRATADA deve possuir um plano de continuidade de negócios (PCN) de modo a garantir a

disponibilidade e o retorno das informações da CONTRATANTE em caso de acidente intencional ou
natural; A CONTRATADA deve não deve permitir a interrupção do negócio, sistema da
CONTRATANTE. A CONTRATADA deve possuir de forma processual:

Análise/avaliação de risco: Devem ser identificados os eventos que podem causar interrupções aos
processos de negócio, junto com a probabilidade e impacto de tais interrupções e as consequências
para a segurança de informação e aos dados contidos em seu poder;
Implementação de planos de continuidade relativos à segurança da informação: Os planos devem
ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para
assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após
a ocorrência de interrupções ou falhas dos processos críticos do negócio.

Além disso, o CONTRATANTE deve assegurar que o provedor será contratualmente proibido do uso dos
dados que não seja para o propósito para o qual foi contratado. O CONTRATANTE deve assegurar via
contrato que o provedor de serviço proteja os seus dados, independente se o provedor esteja local no
próprio país ou fora do país de origem do CONTRATANTE. Quando a operação do provedor ocorre fora
do país, o CONTRATANTE deve se precaver se esta requisição poderá ser atendida em virtude da
legislação local.

Para se garantir que os serviços contratados estejam atendendo de maneira adequada às necessidades
elencadas, deve-se buscar sempre contratar uma infraestrutura compatível com os requisitos funcionais
acima descritos. Em outras palavras, nem sempre é necessário se contratar um data center Tier IV, quando
um Tier II atende plenamente às necessidades do contratante. A seção 5 descreverá em detalhe os
requisitos que um data center deve cumprir em função de seu nível de serviço. Antes, contudo, a seção a
seguir relembra os diferentes níveis de data center conforme a norma ANSI/TIA 942.

4 Considerações sobre os níveis de Data Center

segundo a ANSI/TIA 942
Conforme apresentado em [1], diversas normas regem o desenho, implantação e operação de data centers.
Para análise de infraestrutura de ambiente de hospedagem de elementos de tecnologia da informação
aplicam-se, em particular, os padrões de referência descritos na norma ANSI/TIA 942, que indica
requisitos que vão desde a construção até a ativação do data center.

De maneira resumida, os data centers são categorizados em quatro níveis, ou tiers, descritos na Tabela 4,
onde são classificados por sua disponibilidade e credibilidade das informações.

Tabela 4 - Classificação de Data Center segundo a ANSI/TIA 942

Classe/Tier Requisitos

· Caminho único de distribuição não redundante que serve o equipamento de TI;

1 · Componentes não redundantes em sua capacidade;

· Infraestrutura básica local garantindo a disponibilidade 99,671%.

· Atende ou excede todos os requisitos do Tier 1;

2
· Componentes locais redundantes garantindo disponibilidade 99,741%.

· Atende ou excede todos os requisitos de Tier 1 e Tier 2;

· Múltiplos caminhos de distribuição independentes que servem os equipamentos

de TI;
3 · Todos os equipamentos de TI devem ser de dupla alimentação e totalmente
compatível com a topologia da arquitetura de um site;

· Redundância de site com Infraestrutura local semelhante para garantir a

disponibilidade sustentável 99,982%.

· Atende ou excede todos os requisitos Tier 1, Tier 2 e Tier 3;

· Todos os equipamentos de refrigeração (HVAC) são independentes com dupla

4 alimentação;

· Tolerante a falhas de infraestrutura local com armazenamento de energia elétrica

(UPS) e instalações de distribuição garantindo disponibilidade 99,995%.

Os requisitos acima mencionados são de extrema importância para garantir a disponibilidade e a

confidencialidade dos dados armazenados no Data Center. De fato, a norma ANSI/TIA-942 estabelece
nomenclaturas para as definições da redundância dos data centers, da seguinte maneira:

Data Center “N”, sem nenhum tipo de redundância.

Data Center “N+1”, existe pelo menos uma redundância, por exemplo: nobreak, gerador, link
redundante, etc.
Data Center “N+2”, existe uma redundância a mais, por exemplo: o Data Center será suprido na
falta de energia por um nobreak e um gerador, sendo assim duas redundâncias. Podendo se estender
para os outros equipamentos, links, refrigeração, sistema de prevenção de incêndios, etc.
Data Center “2N”, neste caso seria uma redundância completa, por exemplo: duas empresas de
distribuição de energia (sendo que essas empresas devem vir de diferentes subestações) para
alimentar o Data Center.
Data Center “2(N+1)” existe uma redundância para cada equipamento, utilizando o exemplo
anterior, seria necessário um nobreak ou gerador para cada uma das empresas de energia.

Tais requisitos constituem-se fatores chave a serem considerados na contratação de serviços de um data
center. A seção a seguir apresenta em maior detalhe os requisitos acima indicados.

5 Requisitos para data centers

As subseções a seguir discorrem sobre os requisitos que devem ser cumpridos para que os data centers
atinjam níveis crescentes de serviço, conforme apresentado na seção anterior.

5.1 Considerações sobre o ambiente do data center

Um ambiente de Data center deve ser concebido em sua arquitetura para contemplar os seguintes itens
principais: A Tabela 5 apresenta esses requisitos de forma clara e objetiva.

Localização: A construção deve evitar locais onde sua expansão seja prejudicada por limites físicos
ou mesmo limites naturais como montanhas, rios, lagos ou limites com rodovias. De acordo com a
ANSI / TIA 942 algumas considerações devem ser feitas de acordo com a classe do Data center.
Acesso redundante ao local. Duas vias de acesso para o Data Center. No caso do impedimento de
uma das vias, a outra pode e deve ser utilizada como meio de acessar fisicamente o ambiente do
Data Center.
Capacidade de Entrega de grandes equipamentos. O Acesso às dependências do Data Center não
devem ser restritivas a grandes conteúdos tais como: Grandes Storages, Mainframes, caminhões de
carga e outros.
De preferência em locais livres de interferências eletromagnéticas de alta potência que possam
prejudicar as instalações e servidores.
Construção sem acesso ao ambiente exterior tais como: janelas, vidros, divisórias como forma de
impedir acessos não autorizados e também fatores de exposição ao meio-ambiente (chuvas, ventos
fortes ou até inundações, furacões)
Monitoramento e controle de acesso ao recinto do Data Center. Os acessos às dependências do Data
Center devem ser controlados. Nenhum funcionário da empresa de Data Center, visitante, terceiro
ou mesmo funcionário da CONTRATANTE deve ter livre acesso às dependências sem um devido
controle e acompanhamento da CONTRATADA.
Tamanho Físico do Data Center: Não há uma fórmula. Os requerimentos de expansão da
CONTRATADA não devem ser limitados;
Iluminação: O circuito da iluminação do Data Center deve ser separado dos demais. Deve conter
iluminação de emergência assim como sinalização de saída de emergência.
Sistema de condicionamento do ambiente: Preferencialmente deve conter sistema HVAC com
controle de temperatura e humidade. Parâmetros dos servidores do CONTRATANTE devem ser
considerados.

Tabela 5 - Considerações de construção do ambiente do Data Center

Áreas Estruturais Básico Tier 1 Tier 2 Tier 3 Tier 4

Caracterís cas Ambiente
Distância Distância Distância
Proximidade de área de risco Distância mínima Distância mínima
mínima de mínima de mínima de
de inundação de 800m de 800m
800m 800m 800m
Proximidade de litoral ou Distância mínima Distância mínima
N/A N/A N/A
área navegável de 100m de 800m
Proximidade de vias de Distância mínima Distância mínima
N/A N/A N/A
concentração de tráfego de 100m de 800m
Distância mínima Distância mínima
Proximidade de Aeroportos N/A N/A N/A de 1,6 KM e de 8KM e máxima
máxima de 40KM de 40KM
Proximidade de área
Menos de 48KM Menos de 16KM
metropolitana
Estacionamento
Fisicamente
Estacionamento separado Fisicamente separados por
Compar lhado Compar lhado Compar lhado
para visitantes e empregados separados muros ou
 separadores com
entrada de acesso
dis nta

Fisicamente
separados por
Separação de entrada de Fisicamente muros ou
Compar lhado Compar lhado Compar lhado
cargas separados separadores com
entrada de acesso
dis nta
Proximidade do Mínimo de 10 Mínimo de 20
estacionamento de visitantes N/A N/A N/A metros sem metros sem acesso
até o prédio do Data Center acesso a veículos a veículos
Permi do se todas Permi do se todas
as empresas as empresas
alocadas no alocadas no prédio
Compar lhamento de
N/A N/A N/A prédio forem forem referentes
estrutura do prédio
referentes aos aos serviços
serviços prestados prestados no Data
no Data Center Center
Construção Civil
Type IIA, IIIA, or Type IA or IB
Tipo de construção N/A N/A N/A VA (modelo (modelo
americano) americano)
Componentes da Construção
Possui barreiras de vapor nas
paredes e salas des nadas a
N/A N/A N/A Sim Sim
hospedagem de
equipamentos
Suspenso com Suspenso com
reves mento em reves mento em
Teto e forros N/A N/A N/A
placa de gesso e placa de gesso e
telhas de cerâmica telhas de cerâmica
Portas e Janelas
Largura portas de acesso N/A N/A N/A Entre 1m a 2,20m Entre 1,2m a 2,20m
Com proteção
Janelas na sala de
N/A N/A (barras, vidros Não Permi do Não Permi do
equipamentos
fixos)
Controle de acesso com
Apenas controle Apenas controle Apenas controle
verificação de entrada dupla Sim Sim
(catracas) (catracas) (catracas)
(carona) e controle de acesso
Salas Administra vas
Fisicamente separadas da
N/A N/A Mesmo prédio Sim Sim
estrutura do Data Center
Sala de operações
fisicamente separadas do N/A N/A Mesmo prédio Sim Sim
Data Center
Controle de Acesso ao ambiente
Controle de Controle de Controle de
Centro de Operações de Controle de Controle de acesso
acesso via acesso via acesso via
Segurança acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de Controle de
Controle de Controle de acesso
Centro de Operações de Rede acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de Controle de
Controle de Controle de acesso
Sala de Equipamentos acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Controle de Controle de
Controle de acesso
acesso via acesso via cartão
Controle de Controle de via cartão para
cartão para para entrada e
Sala de Servidores acesso via acesso via entrada e saída e
entrada e saída saída e
cartão cartão iden ficação
e iden ficação iden ficação
biométrica
biométrica biométrica
 Controle de Controle de Controle de
Controle de Controle de acesso
Acesso ao prédio acesso via acesso via acesso via
acesso via cartão via cartão
cartão cartão cartão
Circuito Interno de Câmeras de Segurança
Perímetro de prédio e
Somente prédio Sim Sim Sim Sim
estacionamento
Sistema interrupção energia N/A N/A Sim Sim Sim
Portas controladas N/A Sim Sim Sim Sim
Sala do datacenter Sim Sim Sim Sim Yes
Circuito Interno de Câmeras de Segurança - Retenção Imagens
Gravação das imagens N/A Sim Sim Sim, digital Sim, digital
Taxa de gravação de quadros N/A N/A N/A 20 quadros/s 20 quadros/s

5.2 Conectividade a internet, conectividade entre equipamentos,

conectividade com a rede corporativa e serviços adicionais a
serem fornecidos
Os equipamentos da CONTRATANTE deverão ter acesso e conectividade à internet na velocidade de
upstream e downstream compatível com o tráfego de dados publicados pela contratante no lançamento do
edital. Para atender os requisitos de SLA descritos neste documento, o fornecimento deste serviço deverá
considerar a redundância de cabeamento, interfaces e equipamento de acesso a internet. A Redundância
está relacionada ao SLA requerido conforme Tabela 4.

Devem ser fornecidos endereços IP válidos em número suficiente para contemplar os servidores da
contratante, além disso toda conexão deve ser redundante, evitando indisponibilidade do serviço.

Adicionalmente, é necessário quer a empresa de fornecimento de serviços de Data Center seja um AS

(autonomous system) de internet fazendo a função de resolução de nomes (DNS) Primária e Secundária,
não sendo dependente de terceiros para efetuar a resolução de nomes. Isto se dá devido à alta
disponibilidade requerida para os serviços que serão incluídos como essenciais, importantes e críticos.

Para fins de proteção lógica, junto com o serviço de conectividade a internet, deverá ser fornecida pela
CONTRATADA, equipamento firewall. A instalação e operação deste firewall ficarão sob
responsabilidade da CONTRATADA. A CONTRATANTE irá especificar as regras de firewall e a
CONTRATADA irá fazer a programação necessária no mesmo.

Para fins de conectividade entre os equipamentos fornecidos pela CONTRATANTE ou alugados da

CONTRATADA, deverá ser fornecido switch, a ser disposto dentro do rack, com os seguintes requisitos:

· Portas 10/100/1000 Mbps;

· Aplicação de VLANs.

A aplicação de VLANs é necessária para contemplar a segurança e SLA requeridos neste documento.

Para fins de conectividade com a rede corporativa do Sistema da secretaria ou órgão, a CONTRATADA
será responsável por prover os meios necessários, dentro de suas instalações, visando prover a plena
interconexão com os provedores de rede indicados pela Secretaria, órgão. Dentre outros, estes meios ou
facilidades podem ser: duto de acesso ao prédio, ponto energia, espaço para instalação do equipamento
terminal, cabeamento para conexão interna e demais facilidades necessárias.

Todos os custos referentes a estas facilidades serão de responsabilidade da empresa contratada. Esta
deverá ainda autorizar, mediante comunicado oficial da contratante, a entrada e a execução do serviço de
instalação destes links por parte dos técnicos dos fornecedores destes serviços. O Data Center deverá
fornecer serviço operacional de reset dos equipamentos da CONTRATANTE a partir de abertura de
chamado / solicitação por telefone ou e-mail.
O Data Center deverá fornecer serviço de manipulação e armazenagem, em sala cofre, das fitas de backup
operadas por equipamento contratado ou de responsabilidade da Contratante. Todas as normas de
manipulação e armazenagem devem seguir os itens da norma ISO27001 como melhores práticas de
mercado.

A manipulação destas fitas será de responsabilidade da contratada. A manipulação consiste na troca de

fitas e armazenamento das demais em Sala-Cofre em um volume esperado a ser definido pela
contratante.

Caso a empresa proponente não possua sala cofre, deverá considerar o uso de sala cofre em empresas
especializadas neste tipo de serviço sem custo adicional, mesmo quando for necessário o deslocamento de
fitas entre o Datacenter e a Sala Cofre, além disso, deverá respeitar os requisitos técnicos para transporte
e armazenagem, podendo sofrer auditoria por parte da contratante para a garantia do fornecimento.

5.3 Requisitos para a segurança física

O Data Center deverá possuir vigilância patrimonial 24 horas por dia, 7 dias por semana, 365 dias por
ano, permitindo apenas a entrada de pessoas autorizadas pela contratante (secretaria ou órgão) e
devidamente identificadas.

O Data Center deverá estar equipado com sistema de climatização adequada e de alta disponibilidade (Ar-
condicionado com redundância n+1), de preferência por sistema de insuflamento. As características de
climatização deverão seguir regras da Norma TIA 942.

O Data Center deverá possuir sistema e solução de combate a incêndio com sensores de fumaça,
extintores de incêndio e sistema gasoso, que permita uma ação rápida e eficiente no combate a possíveis
focos de incêndio não importando sua classificação. A extinção de incêndio deverá ser feita com métodos
que não prejudiquem o funcionamento dos equipamentos da secretaria ou órgão, por exemplo com
sistemas gasosos do tipo FM200 ou INERGEN (no caso de informações elencadas para TIER III ou TIER
IV.

Os equipamentos da secretaria ou órgão deverão ser instalados em racks que atendem a norma IEC 297-1
observando principalmente:

· O correto espaçamento entre equipamentos

· O limite de fornecimento de energia por rack especificado pelo fabricante deste terá que estar
adequado a potência nominal dos equipamentos da CONTRATANTE dispostos dentro do
mesmo.

· A temperatura dentro do rack terá que permanecer dentro dos limites máximos especificados
pelos fabricantes dos equipamentos da CONTRATANTE;

A Sala-Cofre, onde serão armazenadas as fitas de backup, deverá ter os seguintes requisitos:

· O mesmo nível de restrição de acesso ao rack utilizado no serviço de Data Center;

· Porta de acesso anti-chamas;

· Paredes de alvenaria com material anti-chamas evitando a saída ou entrada de fogo ou

fumaça. Para isso deve-se haver isolamento em dutos, calhas, por exemplo.

· Em caso de condicionar as fitas dentro de um Cofre anti-chamas, o mesmo deve ser guardado
em local reservado, com controle de acesso e sem visibilidade para meios externos;
 · Sistema de extinção de incêndio que não danifique as fitas;

· Suportar o calor de incêndio externo não permitindo o dano as fitas;

· Garantir proteção contra:

o Fogo;

o Fumaça;

o Gases corrosivos;

o Água;

o Acesso indevido;

o Explosão;

o Poeira;

o Arma de fogo e

o Pulso eletromagnético.

Deve-se considerar ainda os requisitos de TIER da ANSI/TIA 942.

5.4 Requisitos para a segurança lógica

A rede local montada para a conectividade entre os equipamentos da CONTRATANTE somente poderá
ter conectividade externa ao link de internet objeto da secretaria ou órgão em questão, assim como aos
links de conectividade corporativa, serviço este a ser adquirido conforme regra vigente no Estado de São
Paulo para contratação de links de internet. É vedada qualquer outra conectividade a esta rede local sob
pena de cancelamento do contrato.

Para a conectividade com a internet, a solução de firewall fornecida deverá possibilitar a aplicação de
NAT e a criação de políticas de regras de segurança básicas e avançadas utilizando filtros de software
para restrições de portas e filtros de hardware que contemplem, no mínimo:

Regras básicas Regras avançadas

HTTP - TCP/80 - Navegação WEB Streaming - porta 80 HTTP
HTTPS - TCP/443 - Navegação WEB Segura Streaming - TCP/554 e TCP/070 e UDP/6970
a UDP 7170

FTP - TCP/21 - Troca de Arquivos Inclusão de SSL

SMTP - TCP/25 - Envio de e-mails Serviços de DNS
POP - Recebimento de e-mails Acesso aos equipamentos via VPN
RADIUS - Serviços de Autenticação
Acesso Remoto - VNC (porta 5900) ou
Terminal Service
RDP) TCP/3389 - via VPN

5.5 Requisitos para a segurança elétrica

O Data Center deverá ter uma infraestrutura de entrada de energia atendida pela companhia energética
local através de circuitos AC de alta tensão; A quantidade de entradas de energia deve seguir os padrões
da Tabela 4.

O provimento interno de energia deverá ser feito de tal forma que estejam disponíveis duas entradas de
energia com alimentação redundante. Caso haja falha no fornecimento de energia em uma das entradas
por qualquer motivo físico ou elétrico, a outra deverá continuar fornecendo energia aos equipamentos da
CONTRATANTE;

Cada régua de energia deverá ter a quantidade de pontos de energia requisitados pelos equipamentos da
CONTRATANTE e suportar o consumo da potência nominal prevista nos equipamentos fornecidos pela
mesma.

Para fins de redundância no fornecimento de energia, o Data Center deve complementar a infraestrutura
de energia elétrica através de grupo motor-gerador e nobreak (redundância n+1 ou de acordo com a
Tabela 4 pelo nível de data center contratado). O nobreak deve assumir a alimentação dos equipamentos
do Data Center na falta de energia da concessionária até que o grupo motor-gerador entre em operação,
garantindo assim o suprimento contínuo e ininterrupto de energia elétrica aos equipamentos da
CONTRATANTE.

O grupo motor-gerador deverá possuir a autonomia necessária para suprir a energia necessária aos
equipamentos enquanto a concessionária de energia não voltar a fornecer a energia necessária. Para tanto
deverá haver um processo de abastecimento monitorado de combustível no grupo moto-gerador e
entregue ao Contratante no momento da assinatura do contrato.

Os requisitos de elétrica conforme a ANSI/TIA 942 estão exemplificados na Tabela 6 e contidas no anexo
I deste documento;

Tabela 6 - Classificação sobre a TIER do Data center e as necessidades elétricas

Áreas Estruturais Básico Tier 1 Tier 2 Tier 3 Tier 4

Elétrica
Sistema permite Down to but not including Throughout distribu on
manutenção concorrente power distribu on unit system
Ponto único de Falha Sem ponto único de Falha Sem ponto único de falha
Short Circuity Study Short Circuity Study
Análise do sistema de Coordina on Study Coordina on Study
emissão de força Arc Flash Analysis Arc Flash Analysis
Load Flow Study Load Flow Study
Alimentação de cabos Alimentação de cabos
Computer &
Redundantes com 100% Redundantes com 100% de
Telecommunica ons
de capacidades de cabos capacidades de cabos
Power Cords
remanescentes remanescentes
Alimentação N+1 Alimentação 2N Redundante
Entrada de Circuito
Redundante de diferentes subestações
Serviço Dedicado Dedicado
Panelboard com parafusos Panelboardcom parafusos
Construção
nos Disjuntores nos Disjuntores
Supressão de Surto Sim Sim

5.6 Requisitos sobre espaço de armazenamento

Requisitos de armazenamento devem estar disponíveis pela CONTRATADA em caso de necessidade. No
caso de colocation, o espaço de armazenamento deverá ser provido pela Secretaria ou Órgão de acordo
com a previsão de crescimento da secretaria e embasado em relatórios de espaço alocado emitido pela
CONTRATADA.
Se a opção por contratação do Data Center não for no modo colocation, deve-se considerar a
armazenagem de dados em Discos com redundância, de preferência em storages externos com SLA
contratado no caso de perda de dados;

5.7 Requisitos de SLA para os serviços contratados

Os indicadores do nível de qualidade do serviço (SLA) prestado pelo Data Center deverão ser
monitorados pela contratada e serão considerados e medidos conforme segue:

5.7.1 Disponibilidade da Infraestrutura básica do Data Center.

Conceito: Disponibilidade da infraestrutura do Data Center considerando segurança física, energia

(geradores, inversores e nobreaks), condicionamento do ar e temperatura, e cabeamento para a
conectividade com a internet e o link da rede corporativa.

Nível de Serviço (SLA) acordado: deverá seguir os padrões da Tabela 4, sendo este indicador medido
mensalmente.

Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de
horas no período.

Neste cálculo será considerado somente o tempo de indisponibilidade não-previsto ou não-planejado,

reservando para posterior negociação períodos de manutenção preventiva ou corretiva que serão
planejados com antecedência de no mínimo 72 horas.

O subtotal de horas de indisponibilidade será contabilizado conforme abaixo:

SI = SIAP + ½*SIMP

Sendo:

· SI = subtotal de horas de indisponibilidade;

· SIAP = subtotal de horas de indisponibilidade considerando o tempo gasto para a solução de

incidentes de alta prioridade;

· SIMP = subtotal de horas de indisponibilidade considerando o tempo gasto para a solução de

incidentes de média prioridade.

A classificação do nível de prioridade do incidente será definida pela CONTRATANTE no momento da

abertura do chamado. Algumas características básicas de infraestrutura seguem na Tabela 7 e também no
Anexo I deste Documento. Vale ressaltar que o cálculo do SLA é um processo de alta maturidade e que
acordos internos no nível operacional em cada secretaria ou órgão devem ser feitos antes para garantir o
nível de serviço ao cliente;

Tabela 7 - Infraestrutura Básica de Data center

Áreas Estruturais Básico Tier 1 Tier 2 Tier 3 Tier 4

Caracterís cas Ambiente
Distância Distância Distância
Proximidade de área de risco Distância mínima Distância mínima
mínima de mínima de mínima de
de inundação de 800m de 800m
800m 800m 800m
Proximidade de litoral ou área Distância mínima Distância mínima
N/A N/A N/A
navegável de 100m de 800m
Proximidade de vias de Distância mínima Distância mínima
N/A N/A N/A
concentração de tráfego de 100m de 800m
 Distância mínima Distância mínima
Proximidade de Aeroportos N/A N/A N/A de 1,6 KM e de 8KM e máxima
máxima de 40KM de 40KM
Proximidade de área
Menos de 48KM Menos de 16KM
metropolitana
Estacionamento
Fisicamente
separados por
Estacionamento separado Fisicamente muros ou
Compar lhado Compar lhado Compar lhado
para visitantes e empregados separados separadores com
entrada de acesso
dis nta
Fisicamente
separados por
Separação de entrada de Fisicamente muros ou
Compar lhado Compar lhado Compar lhado
cargas separados separadores com
entrada de acesso
dis nta
Proximidade do Mínimo de 10 Mínimo de 20
estacionamento de visitantes N/A N/A N/A metros sem metros sem acesso
até o prédio do Data Center acesso a veículos a veículos
Permi do se Permi do se todas
todas as empresas as empresas
alocadas no alocadas no prédio
Compar lhamento de
N/A N/A N/A prédio forem forem referentes
estrutura do prédio
referentes aos aos serviços
serviços prestados prestados no Data
no Data Center Center

5.7.2 Disponibilidade da conectividade à internet

Conceito: Disponibilidade da conectividade dos equipamentos dispostos no Data Center com qualquer
outro equipamento disponível na internet.

Nível de Serviço (SLA) acordado: tempo disponível de acordo com a Tabela 4, sendo este indicador
medido mensalmente.

Cálculo: SLA realizado = (total de horas no período – subtotal de horas de indisponibilidade) / total de
horas no período.

Neste cálculo será considerado somente o tempo de indisponibilidade não-previsto ou não-planejado,

reservando para posterior negociação períodos de manutenção preventiva ou corretiva que serão
planejados com antecedência de no mínimo 72 horas.

Em caso da conectividade a internet operar com mais de 10% de perda de pacotes, o tempo que durar esta
instabilidade será contabilizado como tempo de indisponibilidade da conectividade a internet afetando
este SLA correspondente.

A Disponibilidade do serviço de Internet pela contratada deverá seguir os padrões da Tabela 4 conforme
classificação do Serviço em questão pela secretaria ou órgão.

5.7.3 Desempenho da conectividade a internet

Conceito: A demanda de tráfego a internet dos equipamentos dispostos no Data Center assim como dos
demais equipamentos dispostos nas redes gerenciadas pelo Sistema da secretaria ou órgão deverá ser
atendida pelo serviço de conectividade a internet até o limite da velocidade contratada especificada pela
secretaria ou órgão. Acima deste limite contratado, o trafego poderá ser descartado.

Nível de Serviço (SLA) acordado: disponibilidade de acordo com a Tabela 4, sendo este indicador
medido mensalmente.
Cálculo: SLA realizado = (total de horas no período – total de horas de indisponibilidade) / total de horas
no período.

A partir do relatório mensal emitido pela CONTRATADA ou a partir de ferramenta de medição

implantada pela CONTRATANTE, a demanda de trafego deverá poder atingir o limite de velocidade
contratado neste SLA.

5.7.4 Atendimento de Service Desk

Conceito: Atendimento em primeiro nível (telefônico ou sistema de Incidentes). Trata-se da principal

interface operacional entre a CONTRATADA e a CONTRATANTE, tendo como objetivos prestar
atendimento em primeiro nível para todas as perguntas, solicitações e reclamações, gerenciar o ciclo do
incidente e comunicar ocorrências.

Os chamados devem ser encaminhados pela CONTRATADA no intuito de resolver em primeiro nível em
torno de 90% dos chamados abertos pela CONTRATANTE.

Tão importante para a Contratada quanto à sua disponibilidade é a sua rapidez e eficiência em resolver os
chamados críticos para a CONTRATANTE.

Para isso, a contratada deve seguir uma metodologia de gerenciamento de incidentes, problemas,
mudanças e todos os demais previstos no ITIL V3 em sua completude.

6 Matriz de classificação das informações e

sistemas
Neste capítulo descreve-se a metodologia e forma de utilização de uma ferramenta baseada em Microsoft
Excel para classificação e seleção de datacenter que atenda a requisitos mínimos de acordo com a
classificação da informação do sistema que se prevê transferia para um data center terceirizado.

O passo a passo dessa metodologia de classificação e seleção consiste em três fases, e encontra-se
descrito nas subseções a seguir.

6.1 Fase 1: Confidencialidade

Para se classificar o sistema que será objeto de transferência para um data center operado por um terceiro,
utilizar-se-á os critérios elencados na norma ABNT NBR ISO/IEC 27001, nomeadamente aqueles
relativos à confidencialidade, integridade e disponibilidade.

Assim, a fase 1 compreende, inicialmente, classificar o sistema de acordo com sua confidencialidade, de
acordo com o destaque da Figura 2. Considere-se, por exemplo, um sistema de emissão de tabela de
horários de transporte público. Este sistema pode ser considerado como um sistema de baixa
confidencialidade.
 Figura 2 – Classificação do sistema com relação ao critério confidencialidade

Em seguida, deve-se classificar as informações contidas no sistema. Tomando novamente o sistema de

emissão de tabela de horários de transporte público como exemplo, as informações ali contidas devem ser
classificadas como Pública, uma vez que o acesso ou distribuição das informações contidas nele não
possuem um nível significativo de risco ao Estado ou Secretaria responsável. A classificação da
informação contida nesse sistema encontra-se ilustrada na Figura 3.

Figura 3 – Classificação da Informação contida no sistema

Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua integridade e
disponibilidade.

6.2 Fase 2: Integridade

Considera-se íntegros os dados que possuem a salvaguarda de exatidão da informação garantida; ou seja,
uma informação Íntegra deve ser conservada da maneira que foi gravada na base sem alterações abruptas
ou não aprovadas. Para classificar a integridade da informação do sistema em questão, deve-se seguir o
indicado na Figura 4.

Figura 4 – Classificando a Integridade das informações

Após este passo, deve-se classificar as informações e/ou sistemas quanto à sua disponibilidade.

6.3 Fase 3: Disponibilidade

A Disponibilidade do sistema deve ser avaliada pelo dono do sistema ou dono da informação, conforme
Figura 5.
 Figura 5 – Classificação da Disponibilidade do sistema a ser transferido ao datacenter

Deve-se considerar que a disponibilidade mínima deverá estar de acordo com a Tabela 4 deste relatório.
A combinação dos três aspectos avaliados redundará em uma classificação de data center sugerida para
contratação, conforme mostrado na Figura 6.

Figura 6 – Classificação sugerida mínima de TIER do Datacenter

Como referência, esta sugestão apresentada na Figura 6 deverá nortear as decisões por classificação das
informações e também para contratação de um serviço de datacenter nos modelos do relatório de
consultoria [Referência 1].

Ainda como referência deve-se considerar os requisitos da Figura 7 como os requisitos necessários para o
atingimento, pelo fornecedor contratado, dos requisitos necessários em função dos diversos TIER de
datacenter, conforme a ANSI/TIA 942.
 Figura 7 – Características do TIER de Datacenter

Adicionalmente, como boa prática, um certificado emitido e válido para a classificação do datacenter
deve ser exigido pela CONTRATANTE no momento da contratação do serviço. A tabela da Figura 7
apresenta em fundo preto destacado de forma automática as características a serem seguidas pela
CONTRATADA de acordo com o resultado da Figura 6.

Vale lembrar que estes requisitos apresentados na Figura 7 são norteadores para uma decisão embasada.
Para que este método de classificação do data center seja efetivo, a secretaria ou órgão deve classificar
seus sistemas e informações antecipadamente à classificação pela planilha da Figura 6. Esta
responsabilidade da classificação cabe ao dono da informação, com as devidas aprovações, conforme
[Referência 2].

7 Conclusões e considerações finais

O presente documento buscou levantar os fatores-chave na definição de contratação de um data center,
que pudesse atender a uma miríade de serviços presentes na administração do Estado de São Paulo.

Para tanto, fez-se o levantamento de todas as informações relevantes para a especificação de contratação
de serviços de data centers, considerando os níveis de segurança lógica, elétrica e física, além de questões
de conectividade, espaço, disponibilidade e modelagem de informações necessárias.

Em seguida, vincularam-se esses requisitos aos níveis de serviço oferecidos por empresas prestadoras
desse tipo de infraestrutura. A partir daí, criou-se uma metodologia que permite tipificar os diversos
serviços passíveis de transferência à uma infraestrutura terceirizada, relacionando-os ao tipo mais
adequado de data center a ser buscado quando no momento da contratação.

Pelo presente instrumento, automatizado por meio de ferramenta computacional implantada em Microsoft
Excel, a administração pública do Estado de São Paulo poderá classificar qualquer serviço que se
apresente futuramente, com vistas à sua eventual colocação ou hospedagem em data center de empresa
terceirizada.

8 Anexos
Constituem parte integrante deste documento as planilhas em formato Microsoft Excel contidas no
arquivo “Abordagem_diagnóstico_DATACENTER_FINAL_V2.xlsx”.
9 Referência bibliográfica
[Referência 1] PD.33.10.83A.0120A-RT-01-AA “Overview das características essenciais de empresas de
data center”.

[Referência 2] ABNT – Associação Brasileira De Normas Técnicas. ABNT NBR ISO/IEC 27001 -
Tecnologia Da Informação - Técnicas De Segurança – Sistemas De Gestão De Segurança Da Informação
- Requisitos. ABNT, 2006.

Data da emissão: 16/set/13

[1] Adaptados de “Data Center Site Infrastructure Tier Standard: Topology”, de Uptime Institute, LCC.

[2]Adaptado de http://lautankencana.com/data-center-solutions, e http://en.wikipedia.org

/wiki/Uptime_Institute, acessado em 14 de agosto de 2013.