Governo Federal Cria Guia de Orientações para a Contratação de Cloud Computing

Tempo de leitura: 4 minutos

Cloud Computing Brasil - Governo Federal

Depois do lançamento do lançamento das Normas de Cloud Computing pela ABNT, O Governo Federal lançou essa recentemente um guia de orientações para Contratação de Cloud Computing.

Link: http://governoeletronico.gov.br/sisp-conteudo/nucleo-de-contratacoes-de-ti/orientacoes-de-ti

Veja uma parte do Texto:

1. Fica vedada a contratação de salas-cofre e salas seguras por órgãos integrantes
do SISP.
i. Solicitações de excepcionalização ao disposto no caput deverão ser
submetidas pelo órgão, com as devidas justificativas, à apreciação da
STI.
2. Compete à autoridade máxima do órgão, com apoio do Comitê de Governança
Digital, do Comitê de Segurança da Informação e Comunicações e do Comitê
Estratégico de Tecnologia da Informação, a definição dos serviços de
Tecnologia da Informação e Comunicação (TIC), no todo ou em parte, que
possam comprometer a segurança nacional, conforme os requisitos de
confidencialidade, integridade, disponibilidade e autenticidade das informações
envolvidas, em conformidade com a IN Nº 01 GSI/PR/2008 e suas Normas
Complementares, e considerando os princípios de acesso à informação e sua
imprescindibilidade à segurança do Estado e da sociedade, dispostos pela Lei nº
12.527, de 18 de novembro de 2011, Decretos nº 7.724, de 16 de maio de 2012,
e nº 7.845, de 14 de novembro de 2012, e outras legislações específicas.
3. Para os casos de serviços de TIC que não comprometam a segurança nacional,
incluindo Serviços de TIC Próprios, recomenda-se aos órgãos contratar
preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor
público ou privado. Com isso, é possível valer-se dos benefícios dos modelos de
nuvem pública (elasticidade e agilidade) e privada (desempenho garantido
devido ao recurso dedicado), e ao mesmo tempo minimizar os riscos e otimizar
os custos advindos de cada modelo.
4. Os órgãos deverão exigir, no momento da contratação de serviços em nuvem de
fornecedores privados, que o ambiente do serviço contratado esteja em
conformidade com a norma ABNT NBR ISO/IEC 27001:2013, sem prejuízo de
outras exigências, objetivando mitigar riscos relativos à segurança da
informação.
5. Para os casos de serviços de TIC que possam comprometer a segurança
nacional, os órgãos devem contratar serviços de computação em nuvem com os
órgãos ou entidades da Administração Pública Federal ou podem realizar
diretamente Serviços de TIC Próprios.
i. No caso dos Serviços de TIC Próprios, quando comprometer a segurança
nacional, sua operação não poderá ser compartilhada ou contratada de
terceiros.
6. A contratação de serviços em nuvem deverá respeitar a seguinte ordem de
prioridade, quanto a capacidade de serviços que possa atender as necessidades
do contratante:
i. Software como Serviço (SaaS);
ii. Plataforma como Serviço (PaaS);
iii. Infraestrutura como Serviço (IaaS).
7. Os órgãos que não possuem infraestrutura de TI própria ou que necessitem
renová-la ou ampliá-la devem contratar Infraestrutura como Serviço (IaaS).
i. A contratação direta de equipamentos de infraestrutura de TI, como por
exemplo, servidores e storages, somente poderá ser feita mediante
justificativa aprovada previamente pela autoridade máxima do órgão ou
pelo Comitê de Governança Digital, ou equivalente, caso esse tenha
delegação para tal.
8. Os órgãos deverão exigir, por meio de cláusulas contratuais, em conformidade
com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informações do
contratante residam exclusivamente em território nacional, incluindo replicação
e cópias de segurança (backups), de modo que o contratante disponha de todas
as garantias da legislação brasileira enquanto tomador do serviço e responsável
pela guarda das informações armazenadas em nuvem.
9. Os órgãos deverão adotar o foro brasileiro para dirimir quaisquer questões
jurídicas relacionadas aos contratos firmados entre o contratante e o fornecedor
do serviço.
10. Na contratação de serviços em nuvem com empresas privadas os órgãos deverão
exigir disponibilidade de no mínimo, 99,749% para os data centers onde os
serviços estarão hospedados, aceita a comprovação por meio de certificação TIA
942 TIER II.
11. Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a
ser contratado permita a portabilidade de dados e aplicativos e que as
informações do órgão contratante estejam disponíveis para transferência de
localização, em prazo adequado e sem custo adicional, de modo a garantir a
continuidade do negócio e possibilitar a transição contratual.
12. Os órgãos deverão assegurar, quando aplicável e por meio de cláusulas
contratuais, que as informações sob custódia do fornecedor serão tratadas como
informações sigilosas, não podendo ser usadas por este fornecedor ou fornecidas
a terceiros, sob nenhuma hipótese, sem autorização formal do contratante.

Baixe Aqui o Arquivo

Governo Federal Cria Guia de Orientações para a Contratação de Cloud Computing
5 (100%) 1 vote