brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
TRANSCRIPT
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 1/6
Contribuições Brasscom à Consulta Pública sobre o Termo
de referência para a contratação de serviços de
computação em nuvem
São Paulo, 31 de março de 2017
Introdução
Entendemos ser de extrema relevância o papel das compras governamentais no processo
de construção de um governo digital amplo e no fomento de serviços eficientes para os cidadãos.
Nesse contexto, as sugestões abaixo visam a maximização da promoção de benefícios da
computação em nuvem, que representa atualmente uma ferramenta essencial para a economia
digital.
Notação das Alterações Propostas e Respectivas Justificativas
No intuito de melhor fundamentar as proposições manifestadas neste documento, a
Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados.
Na dicção dos dispositivos transcritos no texto, adota-se a seguinte notação:
Fragmento de texto taxado
Propõe-se a eliminação do fragmento de texto;
Fragmento de texto sublinhado
Propõe-se que o fragmento de texto seja acrescentado.
[...]
Refere-se à manutenção do fragmento de texto original.
Comentários
I – Preferência na aquisição de tecnologia nacional (Item 12.4.8 do TR).
O universo da tecnologia da informação e das comunicações é, por natureza, global.
Envolvem na maior parte das vezes múltiplas jurisdições na busca por soluções. Exatamente por
isso, há um ganho na internacionalização de processos, produtos e serviços que tende a gerar
mais benefícios para o adquirente. Portanto, interessa à Administração Pública garantir melhores
serviços, ferramentas e soluções e nessa busca a exigência proposta pode trazer um alcance
limitado e ser menos benéfica aos próprios interesses públicos, além de poder adicionalmente
trazer um aumento desnecessário de custos.
Desse modo, acreditamos que a preferência a priori por tecnologia nacional deveria ser
evitada como forma padrão e pré-definida de contratação. Existem outros mecanismos em
termos de políticas governamentais para promoção do desenvolvimento e inovação locais e que
podem trazer mais benefícios para a economia como um todo, diferentemente da garantia de
preferência de aquisição pela Administração Pública. Recomenda-se, portanto, uma alteração de
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 2/6
abordagem nas políticas de preferência de aquisição nas compras públicas, e a remoção do artigo
12.4.8 dos Termos de Referência.
II - Exigência de Call Center local (Item 17.1.1 do TR)
A proposta apresentada requer que o atendimento da Administração Pública se realize
em Português por Call Center localizado no Brasil.
No entanto, como já ressaltado, a localização física da infraestrutura de um serviço não
está associada necessariamente à qualidade de uma ferramenta ou dos serviços prestados e pode
inclusive impor custos desnecessários.
Portanto, recomenda-se que esta disposição seja modificada de forma a permitir que
estes serviços sejam prestados em Português a partir de qualquer localização geográfica.
III – Exigência de armazenamento de dados e infraestrutura local (Itens 18.2.3.1 do TR e 1.1.2.1 do Anexo II do TR)
Os Termos de Referência não permitem que dados sejam armazenados ou enviados para
fora do Brasil e exige que os prestadores de serviços de nuvem utilizem a infraestrutura localizada
no País. Esse requisito tem um impacto bastante negativo pois além de tal exigência ser
desnecessária para se alcançar a segurança almejada, as vantagens econômicas dos contratos
públicos são reduzidas, onerando dessa forma o erário.
Exigir que a localização dos data centers seja no Brasil e que os provedores de serviços
de nuvem não enviem ou armazenem dados fora do país em verdade impactam de forma direta
a resiliência de todo o sistema e a garantia de uma maior segurança na preservação de dados,
por meio de backup em diferentes locais.
A Brasscom vem se manifestado no sentido de que a segurança de dados não pode
depender da localização física destes ou mesmo da localização da infraestrutura. Ela é um atributo
relacionado a outros mecanismos e ferramentas que possibilitam controles, restauração e
recuperação.
De forma geral, defende-se que as legislações e normas que abordem a Internet, seu
conteúdo e proteções, incluindo uma futura norma nacional sobre proteção de dados pessoais e
procedimentos da Administração Pública, deva se isentar de exigir o armazenamento local de
dados e se voltar a garantir o dever de guarda e segurança com relação aos dados coletados de
domiciliados em território nacional.
Desde as discussões do Marco Civil da Internet sublinha-se que não só a Brasscom, mas
diversas entidades da sociedade civil organizada, entendem que a obrigatoriedade de
manutenção de dados em data centers no país não facilita a proteção de dados, especialmente
na ausência de legislação mais detalhada de proteção de dados. Além disso, representa um custo
econômico elevado que pode prejudicar colateralmente o surgimento de novas empresas
nacionais, bem como uma quebra na lógica global da rede mundial de computadores, Internet.
Nesse sentido, a solução seria determinar que incumbe exclusivamente à empresa que
coleta e armazena os dados, no caso presente à ganhadora do objeto licitatório, toda e qualquer
responsabilidade em relação segurança desses dados, independente da cadeia produtiva que
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 3/6
esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade direta desta empresa frente
ao Poder Público e em relação a qualquer dano sofrido por este1.
Assim, evitar-se-ia a criação de obstáculos legais, na mesma medida em que as empresas
envidam esforços para garantir a integridade e segurança dos dados em escala global. Esse
mecanismo proposto permite que, independentemente das regras de proteção dos países onde
os dados sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um
conjunto de regras de proteção de seu dado pessoal.
Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão
relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela
empresa responsável pela coleta e armazenamento dos dados.
Nesse contexto, em especial quando se trata de uma aquisição governamental via registro
de preços com a envergadura proposta, torna-se ainda mais relevante a identificação da natureza
e classificação dos dados.
Portanto, recomenda-se que os requisitos referentes ao servidor e à localização de dados
estabelecidos pelos artigos 18.2.3.1 dos Termos de Referência, bem como pelo Artigo 1.1.2.1 do
Anexo II, sejam removidos, além de sugerir que as questões relativas aos serviços e dados
altamente confidenciais e sensíveis sejam tratadas caso a caso, por meio de contrato específico.
IV – Exigência de mínima de processador (Lotes 1 ,2 e 3, Item 1.1.3, Item 1.2.3 e Item 1.3.3 do Anexo I do TR)
Nos itens 1.1.3, 1.2.3 e 1.3.3, a CPU sugerida pelo termo de referência é o Xeon E5 de
segunda geração. Recomenda-se que seja utilizado processadores mais novos, atualmente
disponíveis no mercado. Os processadores Xeon E5 estão na quarta geração (v4) e são estes os
processadores atualmente comercializados. Para garantir que o governo tenha acesso à
tecnologia atual, sugere-se utilizar a última versão de processadores no momento da contratação,
visto que o registro de preços terá duração de 1 (um) ano.
Quanto ao benchmark adotado, o CPU MARK é utilizado com foco em desktops e
workstations. Sugerimos utilizar o benchmark SPECint_rate 2006 baseline, da entidade SPEC.ORG,
que é o mais utilizado para descrever performance em editais no Brasil e no mundo. Recomenda-
se exigir performance mínima por vCPU de 800 pontos para 1 vCPU.
V– Exigência de mínima de performance de disco (Lotes 1 ,2 e 3, Itens 1.1.5, 1.2.5, 1.3.5, 1.4.5, 1.5.5 e 1.6.5 do Anexo I do TR)
Nos itens citados acima, a performance do disco exigida é especificada em IOPS, sem
definição do tamanho de bloco utilizado para testes e performance de leitura e escrita.
Como mostrado no gráfico abaixo, a performance de IOPS pode variar de forma muito
significativa se alterado o tamanho do bloco.
1 Inclusive referida posição já fora expressada no documento intitulado “MANIFESTO SOBRE A FUTURA LEI DE PROTEÇÃO DE
DADOS PESSOAIS”, disponível no link:
http://brasscom.org.br/brasscom/Portugues/detPosicionamento.php?codPosicionamento=841
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 4/6
O mesmo disco, se considerado performance de leitura, pode variar de 335 IOPS até
475.723 IOPS, dependendo do tamanho do bloco.
Portanto, recomenda-se seguir o padrão de mercado e utilizar números baseados em
leitura e escrita randômica com tamanho de blocos de 4k e definição de taxa de transferência de
leitura e escrita em MB/s.
Segue abaixo exemplo de especificação de disco de alta performance, com desempenho
de baixa latência.
Além disso, é importante a utilização de criptografia no disco, para reduzir a penalidade
de performance da CPU.
VI – Criptografia (Itens 1.4.6 do Anexo I do TR)
Conforme será detalhado no item IX abaixo, a criptografia é uma ferramenta importante
de proteção de informações. No entanto, muitas soluções estão sendo desenvolvidas e
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 5/6
alternativas existem ao se considerar no caso específico a segurança em si do dado. Para tanto,
ela pode ser feita em diferentes níveis da rede.
Nesse sentido, sugere-se substituir a redação original pelo seguinte texto: O serviço deve
prover função de criptografia da máquina virtual do volume com a chave gerenciada pelo próprio
cliente.
VII – Ambiente para desenvolvimento e hospedagem de aplicativos web (Item 1.25.4 do Anexo I do TR)
Recomenda-se remover o termo nativamente do texto: O serviço deve ofertar
nativamente as plataformas de desenvolvimento das linguagens: Java, Python, PHP, Node.js e
Ruby;.
O objetivo é viabilizar a plataforma, mas de maneira flexível ao prestador do serviço em
nuvem e ampliando as soluções existentes.
VIII – Datacenters com a Certificação TIER III (Itens 1.1.2.15 do Anexo II do TR)
Sugere-se a exclusão da referência à classificação Tier III da redação original, para que o
mesmo passe a adotar o seguinte texto: Para a comprovação dos requisitos de provedor de
computação em nuvem, a CONTRATADA deverá apresentar: Certificação reconhecida
internacionalmente como SOC/SAS ou ainda comprovação emitida por auditoria independente.
A proposta apresentada neste item da Consulta Pública relativa à certificação baseada
em Tiers está em desuso em outros mercados, por exemplo nos EUA, quando se refere a nuvem,
sendo substituído (nestes casos) pelas certificações SOC/SAS. As certificações SOC/SAS são
relatórios muito mais completos, produzidos por auditores independentes, que descrevem
inclusive procedimentos operacionais de contratação, limpeza de storage, etc. e que vão além
dos critérios básicos descritos nas certificações baseado em TIERs.
IX– Exigência de Criptografia (Item 1.1.3 do Anexo II do TR)
O Item1.1.3 do anexo II dos Termos de Referência exige que, em quaisquer e todas as
circunstâncias no processo de tráfego e armazenamento todos os dados sejam criptografados
com chaves fornecidas pelo órgão contratante.
Embora não se possa negar que a criptografia seja uma ferramenta eficiente para
proteger tanto o transporte como o armazenamento de informações, o fato é que muitas outras
soluções estão sendo desenvolvidas e alternativas existem ao se considerar: diferentes níveis de
sensibilidade dos dados; diferentes partes do processo de trânsito e armazenamento; necessidade
de rastreamento de dados e segurança. Portanto o uso da criptografia em si não precisaria ser
obrigatório ou mesmo a solução exclusiva e impositiva em todas as situações. O próprio avanço
tecnológico tem demonstrado isso.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2017-017 (CP MPOG Contrtação em Nuvem) v20 6/6
A preocupação seria a de manter a segurança do trânsito e armazenamento com
mecanismos atualizados e eficientes considerando o desenvolvimento tecnológico e atualização
constante dos referidos mecanismos, sem a eleição de um meio exclusivo, impositivo e
generalizado para todos os processos.
Nesse sentido, recomenda-se que a redação do Item 1.1.3 do anexo II dos Termos de
Referência seja alterada para que a criptografia conste como uma ferramenta importante,
desejada, mas não exclusiva ou mandatória em todo o processo de tráfego e armazenamento,
impondo inclusive custos desnecessários.
X – Open Virtualization Format (OVF) (Item 1.1.4.3 do Anexo II do TR)
Recomenda-se a remoção do termo nativamente e substituir a redação original deste
item com o seguinte texto: A CONTRATADA deve suportar nativamente a conversão de máquinas
virtuais para o formato Open Virtualization Format (OVF) e outros padrões abertos de
virtualização.
O objetivo é viabilizar a plataforma mas de maneira flexível ao prestador do serviço em
nuvem e ampliando as soluções existentes.