julho 18, 2016

[Carreira] Manual para contratação de Cloud Computing

Recentemente o Ministério do Planejamento, Orçamento e Gestão (MP) divulgou um manual de  “boas práticas, orientações e vedações” para contratação de serviços de cloud computing por órgãos do governo brasileiro.

O documento está disponível na página do Núcleo de Contratações de Tecnologia da Informação (NCTI) do portal do Governo Eletrônico e foi publicado em 11/05 deste ano.

O documento é curto e objetivo, e eu destaco abaixo os itens desta regulamentação que achei mais interessantes ou pertinentes:

  • Para os casos de serviços de TIC que não comprometam a segurança nacional, incluindo Serviços de TIC Próprios, recomenda-se aos órgãos contratar preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor público ou privado.
  • Os órgãos deverão exigir, no momento da contratação de serviços em nuvem de fornecedores privados, que o ambiente do serviço contratado esteja em conformidade com a norma ABNT NBR ISO/IEC 27001:2013
  • A contratação de serviços em nuvem deverá respeitar a seguinte ordem de prioridade (...): Software como Serviço (SaaS), Plataforma como Serviço (PaaS), Infraestrutura como Serviço (IaaS).
  • Os órgãos que não possuem infraestrutura de TI própria ou que necessitem renová-la ou ampliá-la devem contratar Infraestrutura como Serviço (IaaS).
  • Os órgãos deverão exigir, por meio de cláusulas contratuais, (...) que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups)
  • Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a ser contratado permita a portabilidade de dados e aplicativos
  • Os órgãos deverão assegurar, quando aplicável e por meio de cláusulas contratuais, que as informações sob custódia do fornecedor serão tratadas como informações sigilosas

Os itens acima me pareceram bem relevantes para órgãos de governo, e desta forma, passam a servir como referência em futuras contratações de serviços em nuvem. Note apenas que a regulamentação exige a adoção da norma 27001, e não considera a nova norma ABNT NBR ISO/IEC 27017, publicada recentemente pela ABNT.

Para mais detalhes, veja aqui o documento na íntegra..

Um comentário:

Anônimo disse...

Anchieses,

Outro documento relevante para o tema de contratação de cloud computing pelo governo é o relatório de levantamento de auditória para identificação de riscos em contratações de cloud computing do TCU, disponível aqui, e que dispõe de temas no sentido de:
- qual o panorama atual da contratação de serviços de computação em nuvem pela Administração Pública Federal
- qual o quadro normativo aplicável a contratações de serviços de computação em nuvem pela Administração Pública Federal
- entre outros

O documento é um pouco mais extenso que o do MPOG, por apresentar conceitos e características do ambiente de cloud computing, mas ainda assim acredito que vale a pena dar uma conferida. E, se não me engano, este também não trata da ISO/IEC 27017.

--
Alexandre Menezes

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.