O documento está disponível na página do Núcleo de Contratações de Tecnologia da Informação (NCTI) do portal do Governo Eletrônico e foi publicado em 11/05 deste ano.
O documento é curto e objetivo, e eu destaco abaixo os itens desta regulamentação que achei mais interessantes ou pertinentes:
- Para os casos de serviços de TIC que não comprometam a segurança nacional, incluindo Serviços de TIC Próprios, recomenda-se aos órgãos contratar preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor público ou privado.
- Os órgãos deverão exigir, no momento da contratação de serviços em nuvem de fornecedores privados, que o ambiente do serviço contratado esteja em conformidade com a norma ABNT NBR ISO/IEC 27001:2013
- A contratação de serviços em nuvem deverá respeitar a seguinte ordem de prioridade (...): Software como Serviço (SaaS), Plataforma como Serviço (PaaS), Infraestrutura como Serviço (IaaS).
- Os órgãos que não possuem infraestrutura de TI própria ou que necessitem renová-la ou ampliá-la devem contratar Infraestrutura como Serviço (IaaS).
- Os órgãos deverão exigir, por meio de cláusulas contratuais, (...) que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups)
- Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a ser contratado permita a portabilidade de dados e aplicativos
- Os órgãos deverão assegurar, quando aplicável e por meio de cláusulas contratuais, que as informações sob custódia do fornecedor serão tratadas como informações sigilosas
Os itens acima me pareceram bem relevantes para órgãos de governo, e desta forma, passam a servir como referência em futuras contratações de serviços em nuvem. Note apenas que a regulamentação exige a adoção da norma 27001, e não considera a nova norma ABNT NBR ISO/IEC 27017, publicada recentemente pela ABNT.
Para mais detalhes, veja aqui o documento na íntegra..
Um comentário:
Anchieses,
Outro documento relevante para o tema de contratação de cloud computing pelo governo é o relatório de levantamento de auditória para identificação de riscos em contratações de cloud computing do TCU, disponível aqui, e que dispõe de temas no sentido de:
- qual o panorama atual da contratação de serviços de computação em nuvem pela Administração Pública Federal
- qual o quadro normativo aplicável a contratações de serviços de computação em nuvem pela Administração Pública Federal
- entre outros
O documento é um pouco mais extenso que o do MPOG, por apresentar conceitos e características do ambiente de cloud computing, mas ainda assim acredito que vale a pena dar uma conferida. E, se não me engano, este também não trata da ISO/IEC 27017.
--
Alexandre Menezes
Postar um comentário